The Blog of a WebDeveloper

Ultimamente o tempo para postar não tem sido muito, no entanto, dentro de uma semana espero que essa tendência mude e tenha mais tempo livre que me permita continuar a deixar aqui o meu pequeno contributo para o repositório de conhecimento em Português na Internet.

Este post hoje será para dar algumas informações…

SAPO Codebits 2009

Anfitrião: SAPO
Início: quinta-feira, 3 de Dezembro de 2009 às 12:30
Fim: Sábado, 5 de Dezembro de 2009 às 21:00
Local: Cordoaria Nacional
Rua: Avenida da Índia
Cidade/Localidade: Lisbon, Portugal
Descrição
SAPO Codebits is an international programming contest for the Web targeted at talented programmers. The goal is to promote creativity and innovation in a very relaxed and informal environment. 3 days non-stop with presentations, lightning talks, workshops, quizzes, rockband contests, electronics and hacks, for those who love the Internet and have a passion for code.

Mais em: http://codebits.eu/

Relativamente ao SAPO Codebits 2009 no qual eu vou estar presente, apresento aqui as talks às quais tenciono assistir:

# Think before you develop! (Main Stage, day 3, 14:00)
# Distributed programming and data consistency (Stage A, day 3, 15:00)
# Introducing Ajax.org Platform 3.0 (Stage B, day 3, 16:00)
# JavaScript: From Birth to Closure (Main Stage, day 3, 17:00)
# Schema maintenance, migration, and synchronization in MySQL (Main Stage, day 3, 18:00)
# Widget Platform – tear the Web apart and assemble the pieces together (Stage A, day 3, 19:00)
# Make A Living Doing What You Love: How to Bring Your Project From Idea To Reality (Stage C, day 4, 10:00)
# The State of JavaScript on Mobile Devices (Stage C, day 4, 11:00)
# Crash Course in Brain Surgery (Stage A, day 4, 12:00)

Se alguém quiser partilhar as talks a que quer assistir e as opiniões sobre algumas delas agradeço .

Google Wave

Outra informação que tenho para dar é que possuo 28 convites para o Google Wave, quem quiser que deixe um comentário que eu envio para o e-mail.

“About Google Wave

Google Wave is an online tool for real-time communication and collaboration. A wave can be both a conversation
and a document where people can discuss and work together using richly formatted text, photos, videos, maps, and more.
What is a wave?

A wave is equal parts conversation and document. People can communicate and work together with richly formatted text, photos, videos, maps, and more.

A wave is shared. Any participant can reply anywhere in the message, edit the content and add participants at any point in the process. Then playback lets anyone rewind the wave to see who said what and when.

A wave is live. With live transmission as you type, participants on a wave can have faster conversations, see edits and interact with extensions in real-time.”

Fonte: http://wave.google.com/help/wave/about.html

Antes de mais o que é um apontador em português corrente? É algo que aponta para alguma coisa, certo? Ok… Então vejamos este exemplo:

O que é o ponteiro de um relógio? É o que aponta para as horas, minutos ou segundos. Em programação é muito semelhante temos as variáveis e o ponteiro vai apontar para o local da memória onde elas se encontram armazenadas que veremos mais à frente chamar-se de endereço da memória.

Arquitectura

“Ponteiros são uma abstracção da capacidade de endereçamento fornecidas pelas arquitecturas modernas. Em termos simples, um endereço de memória é definido para cada unidade de memória no sistema, no qual a unidade é tipicamente um byte ou um char, o que em termos práticos transforma toda a memória num grande vector. Logo, a partir de um endereço, é possível obter o valor armazenado na memória correspondente a esse endereço.”

Fonte: Wikipedia

Resumidamente: O ponteiro é uma variável como qualquer variável mas que armazena um endereço de uma outra variável.

Variáveis e Memória

Quando declaramos int i=2450; estamos a indicar ao compilador para reservar um espaço na memória para poder armazenar valores do tipo inteiro, com o número de bits associado a este para cada compilador e/ou arquitectura. Simultaneamente é atribuído o valor 2450 à variável i, o que significa que no endereço de memória associado à variável i é armazenado o valor 2450.

Nota: este gráfico não está relacionado com o anterior apesar do valor de i ser o mesmo.

Declarar apontadores

Antes de começar com a declaração de apontadores quero alertar para um erro muito comum quer em programadores novatos quer em programadores mais experientes, nunca se deve usar um ponteiro sem antes inicializa-lo pois ele estará a tentar aceder a um valor da memória desconhecido e dará erro “Segmentation Fault“.

Declarar um apontador é muito simples:

int *ap  ;        /* declara um ponteiro para um inteiro */

A instrução anterior indica que ap é um apontador do tipo inteiro. Por outras palavras, ap é uma variável cujo valor é um endereço de uma variável do tipo int.
Existem dois operadores unários que são utilizados com os ponteiros.
Um é o operador (*) através dele é possível obter o valor do endereço de memória do ponteiro, o outro é o operador (&) que permite obter o endereço de memória.
De forma mais simples:

• & significa “endereço de”;
• * significa “conteúdo do endereço para onde aponta”.

*ap = 33;  /* atribui o valor 33 à variável que está contida no ponteiro */

Exemplos de Operações com Ponteiros

#include<stdio .h>
main()  {
int a=33;
int *ap=&a; // &a, devolve o endereço de memória de uma variável
printf("Valor a: %d\n", a);
printf("Endereço a: %d\n", &a);
printf("Valor apontador: %d\n", ap);
printf("Endereço apontador: %d\n", &ap);
printf("Valor na memória apontada pelo apontador: %d\n", *ap);
}</stdio>

int *ap1, *ap2;
ap1 = ap2; /* isto fará com que ap1 aponte para o mesmo endereço que ap2 logo usar ap1 é o mesmo que usar ap2 */

int *ap1, *ap2;
*p1 = *p2;/* altera o valor apontado por ap1 para o apontado por ap2 */

int *ap;
(*ap)++; /* incrementa o valor armazenado no endereço para o qual ap aponta*/

int *ap;
ap++; /* se temos um ponteiro para um inteiro e o incrementamos, ele passa a apontar para o próximo inteiro */

Resumindo e Concluindo

• Uma variável tem sempre um endereço e um valor;
• Um apontador é uma variável cujo valor é o endereço de uma outra variável;
• Se a for uma variável então &a é o endereço de a;
• Se ap for um apontador, *ap é o valor que é indicado por ap;

Qualquer dúvida ou sugestão sintam-se à vontade em comentar, a perguntar é que se pode evoluir, não ficando com as dúvidas só para nós sem serem esclarecidas!

Deixo-vos com um vídeo do Binky a explicar apontadores, penso que será mais interessante e divertido…

O Ubuntu 9.10 já ai está à algum tempo e eu decidi fazer o upgrade pois estava ainda com a versão 8.04 LTS do Ubuntu, e 14 (catorze) dias depois de instalar na minha máquina o Ubuntu 9.10 – Karmic Koala (instalada dia 4 de Novembro de 2009) vou deixar aqui a minha opinião sobre ele, tal como prometido: http://tr.im/Ff89 .

O gestor de arranque System-V foi substituído pelo Upstart, o USplash foi substituído pelo XSplash, o que tornou o boot mais rápido. O reboot já não demora tanto como antigamente, desligando o computador completamente em cerca de 3 segundos, o que é óptimo para os utilizadores de computadores portáteis.

O Karmic Koala, traz a versão do Kernel Linux 2.6.31, e o sistema de ficheiros ext4 está agora disponível por omissão.

O Ubuntu é uma das primeiras distribuições a incluir o Gnome 2.28, que proporciona notórias melhorias no ambiente gráfico. O gdm foi também totalmente rescrito, tornando o ambiente de login muito mais acessível e intuitivo. Ao sistema de notificações foram introduzidas melhorias significativas.

Está também mais seguro, o AppArmor foi também melhorado, tendo agora a integração com a Libvirt. achou interessante? Clique aqui para ler mais…

E foi assim que recebi a óptima noticia que este ano vou novamente poder comparecer no SAPO CodeBits, a edição 2008 foi boa, espero que a deste ano proporcione novamente bons momentos.

Para aqueles que não sabem, o evento SAPO CodeBits consiste em três dias onde existe tempo para talks quer de pessoas convidadas pela organização quer talks propostas pelos participantes do evento para irem apresentar um determinado tema. É também composto por tempo e concurso relacionado com o desenvolvimento de aplicações, ou seja um concurso de programação, ou melhor dizendo, de ideias semi-programadas pois é complicado terminar o CodeBits com uma aplicação (bem) feita, concluída. Depois existem momentos de lazer e de convívio que são fantásticos.

A organização descreve o CodeBits 2009 da seguinte forma:

3 days. 24 hours a day. 600 attendees. Talks. Workshops. Lots of food and beverages. 24 hour programming/hacking competition. Quizz Show. Rock Band Contest. Lots of gaming consoles. More food. More beverages. More coding. Sleeping areas. More fun. An unforgettable experience.

Oh, did we mention attendance is free? You need only to register and get approved for the event.

Stay tuned with the blog to hear about the speakers we’re getting to this event and all the stuff we’re preparing for you.

Fonte: http://codebits.eu/

Consultar Calendário

Eu vou, e tu ?

Um dos projectos que estou a começar a desenvolver é um Twitter Bot que seja capaz de simular o comportamento de um utilizador durante um curto período de tempo, dependendo da configuração que o utilizador lhe quiser dar. Deve também ter todas as funcionalidades que possam ser úteis ou pensáveis para um programa deste género e por isso muito é necessário pesquisar e estudar.

Hoje surgiu-me a ideia de utilizar a pesquisa do Twitter para encontrar e-mails. Claro que não fui o primeiro a pensar nisto, então em vez de reinventar a roda fui alterá-la apenas para andar melhor.

ob_start();
 
function writemail($matches) {
	foreach($matches as $emails)
		foreach ($emails as $email) {
			echo $email.'
';
			ob_flush();
		}
 
}
 
for($id=1; $id< =20; $id++) {
	$file = proxify_my_connection("http://search.twitter.com/search?page=".$id."&q=gmail.com+OR+msn.com+OR+hotmail.com+OR+%22email+me%22&rpp=100");
 
	$file = strip_tags($file);
 
	preg_match_all(
		"([a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+(?:[A-Z]{2}|com|org|net|gov|mil|biz|info|mobi|name|aero|jobs|museum)\b)siU",
		$file,
		$matches);
 
	writemail($matches);
 
}
ob_end_flush();

O que este código faz, basicamente, é ler a página de pesquisa do Twitter e utilizando Regular Expressions encontrar os e-mails existentes na página, e depois continua pelas páginas seguintes.

/search?page=”.$id.”&q=gmail.com+OR+msn.com+OR+hotmail.com+OR+%22email+me%22&rpp=100

page numero da página
q representa a query, a chave a pesquisar
rpp results per page sendo que o máximo permitido pelo twitter é 100

Como podem reparar no meu código existe uma função que não está presente nem faz parte do PHP, a proxify_my_connection, é uma ferramenta que eu próprio desenvolvi há algum tempo e que não a quero tornar pública. Mas é fácil de a substituir, mesmo utilizando funções que já vêm de raíz no PHP. Podem também ver aqui uma função com efeito semelhante à que eu desenvolvi, no entanto não tem nada a ver uma com a outra.

Em vez da função writemail() é mais produtivo ter uma base de dados onde quardar os e-mails e verificar se estes são repetidos ou não…

Podem dar uso à vossa imaginação, aumentar e desenvolver a query, aumentar a performance do script, etc. isto foi só um pequeno exemplo do que se pode fazer com a search do twitter.

Bibliografia

Regex utilizado no meu código: http://www.fromzerotoseo.com/twitter-email-grabber/

Contribua para este blog deixando

a sua opinião e um pouco do seu conhecimento

PHP é a linguagem de programação web server-side mais utilizada a nível Mundial e neste artigo vão ser retratados os aspectos que devem fazer parte do estudo, do caminho de um WebDeveloper que quer desenvolver em PHP. Entre eles Boas práticas, Frameworks, Segurança, Caching, Buffering e Environments.

O Melhor Amigo – PHP Manual

Antes de mais é necessário aprender a linguagem em si, e o PHP é uma linguagem com uma enorme comunidade por trás que desenvolveu o PHP Manual, neste manual encontra-se todo o conhecimento necessário para se dominar a linguagem PHP. E como se não chegasse a sua enorme qualidade este é, também, gratuito e pode ser acedido quer online quer offline.

De leitura fácil encontramos no PHP Manual a documentação de como proceder à sua instalação e configuração, a documentação da estrutura lógica da linguagem bem como de todas as funções que a compõe sem nunca faltarem imensos exemplos! A secção das notas dos utilizadores é riquissima em estudos e desenvolvimentos de cada função, não dispensem a sua leitura!

Aceder ao PHP Manual em Português

Montar um Ambiente de Teste

Para testar o PHP não é necessário apenas ter um editor de texto e um browser, é necessário um servidor que corra o interpretador de PHP.

Então para começarmos a desenvolver em PHP é necessário configurar um pequeno servidor ou então utilizar um host existente…

Existem soluções que não envolvem muito trabalho nas configurações, como o MAMP (Mac), WAMP (Windows), LAMP (Linux), estas ferramentas já trazem também incluido a SGBD (Sistema de Gestão de Base de Dados) MySQL.

Depois para desenvolver o código pode utilizar ferramentas de auxilio, os IDE’s. A SmashingMagazine realizou um estudo comparativo sobre IDE’s para PHP. Ver Estudo Comparativo de IDE’s para PHP Aqui

Para quem não quer editores tão pesados aconselho o Geany (Linux) ou Notepad++ (Windows).

Desenvolver Bom Código

Isto não é algo restrito ao PHP mas a todas as linguagens de programação.

Quando programamos algo deve ter, além de uma estrutura lógica e funcional correcta, uma boa identação, documentação e deve também ser auto-explicativa (variáveis, classes e funções com nomes que descrevam facilmente o que contêm / o que fazem).

Deve ser fácil de ler e entender quer pelo próprio programador daqui a uns anos ou por outro programador que tenha de modificar algo no código desenvolvido.

Manter Funções Fora de Ciclos

Manter sempre a declaração de funções fora de ciclos é um aspecto muito importante quando visamos a performance de uma aplicação desenvolvida em PHP pois num ciclo que se repete (imaginemos) 500 vezes, a função será declarada 500 vezes, uma perda de tempo.

Organização do Código por Ficheiros

Além da organização ao nível das linhas código em si temos a organização de código relativa à separação por ficheiros e categorias. Para facilitar o entendimento e a detecção e correcção de erros o código deve ser separado lógicamente.

Imaginemos que estamos a desenvolver um CMS (Content Management System). E então devido à grande quantidade de código que tem de ser desenvolvido vamos separar o código em vários ficheiros.

Má Prática

Boa Prática

Aprender Object Oriented Programming

Object-oriented programming (OOP) ou Programação Orientada a Objectos (POO) em Português utiliza objectos para representar partes da aplicação permitindo separar em secções lógicas o código, facilitando a sua modificação e organização.

Aprender a Utilizar uma Framework

Muitos defendem que se deve aprender a utilizar frameworks na iniciação ao PHP porque com elas se aprende a desenvolver código mais avançado, a organizar melhor o código, a torná-lo lógico, a fazer debbug de erros, etc.

Outros defendem que não se deve aprender a utilizar frameworks na iniciação ao PHP porque no inicio o que os utilizadores necessitam é fazer os seus erros, aprender a desenvolver o seu código de raíz, sem funções e classes prontas a utilizar (exceptuando aquelas que vêm de raíz no PHP claro).

Eu considero que o utilizador deve dar uma olhadela a algumas frameworks e decidir se as deve ou não utilizar, porque cada pessoa é unica e pode aprender de diversas formas. Frameworks que considero muito bem estruturadas: Kohana, CodeIgniter e CakePHP .

Nunca Confie nos Utilizadores

Um dos aspectos mais importantes ao nível da segurança de aplicações informáticas é nunca confiar nos utilizadores da aplicação que estamos a desenvolver.

E que implica isso? Validar tudo o que entra! URL’s, formulários, cookies, sessões e até headers dos browsers.

Vamos então ver alguns exemplos de validações pois seria impossível cobrir todas as validações possíveis.

Validar Dados

É muito importante validar e corrigir todos os dados que possam ser introduzidos pelo utilizador! Infelizmente tenho visto imensas aplicações web sem qualquer protecção contra ataques tornando-as completamente vulneráveis a ataques.

Imaginemos o seguinte URL: joaopedropereira.com/xpto.php?id=1245

Que falha pode ser explorada aqui? O parâmetro dado ao id que pode ser utilizado para um SQL Injection por exemplo. Como fazer esta validação? Através de Regex:

function is_natural($str){
return (bool)preg_match( '/^[0-9]+$/', $str);
}
 
if(is_natural($_GET['id'])) { /* código */ }
else die('Erro');

Outro exemplo também com URL: joaopedropereira.com/xpto.php?email=email@domain.tld

function is_email($str){
return (preg_match("/^([a-z0-9\+_\-]+)(\.[a-z0-9\+_\-]+)*@([a-z0-9\-]+\.)+[a-z]{2,6}$/ix", $str)) ? TRUE : FALSE;
}
 
if(is_email($_GET['email'])) { /* código */ }
else die('Erro');

Também com formulários se deve proceder de uma forma semelhante a esta.

ID Cliente

Email

function is_natural($str){
return (bool)preg_match( '/^[0-9]+$/', $str);
}
function is_email($str){
return (preg_match("/^([a-z0-9\+_\-]+)(\.[a-z0-9\+_\-]+)*@([a-z0-9\-]+\.)+[a-z]{2,6}$/ix", $str)) ? TRUE : FALSE;
}
if(is_email($_POST['email']) AND is_natural($_POST['id'])) { /* código */ }
else die('Erro');

Vimos então que se podem validar os dados através de Regex mas existem outras formas de o fazer.

Imaginemos que temos um formulário que envia um campo de texto. Não podemos criar uma função em Regex para o efeito, assim temos de utilizar outras funções mais ou menos complexas para fazer a limpeza destes dados (recomendo o estudo das funções de validação da Kohana ou CodeIgniter).

function proteger($str) {
$str = strip_tags($str);
$str = mysql_real_escape_string($str);
 
return $str;
}

Com esta função adicionamos alguma segurança ao nosso código limpando tags como as utilizadas em ataques XSS e limpamos os dados contra SQL Injection. (Atenção: esta função não inibe todos os ataques apenas os dificulta um pouco).

Existe também uma forma de melhorar a segurança que dá menos trabalho pois apenas com algumas linhas de código podemos limpar todos os dados passados por $_POST, $_GET, $_REQUEST, $_COOKIE, $_SESSION, etc.

Eu normalmente crio um ficheiro que incluo no inicio de cada página parecido com o seguinte:

foreach ($_POST as $key => $value) {
$_POST[$key] = proteger($value);
}
 
foreach ($_GET as $key => $value) {
$_GET[$key] = proteger($value);
}
 
foreach ($_REQUEST as $key => $value) {
$_REQUEST[$key] = proteger($value);
}
 
foreach ($_COOKIE as $key => $value) {
$_COOKIE[$key] = proteger($value);
}
 
foreach ($_SESSION as $key => $value) {
$_SESSION[$key] = proteger($value);
}

Ambiente de Teste vs. Ambiente Real

Um dos problemas com que me deparava quando me iniciei no desenvolvimento de aplicações web em PHP (como o tempo passa…) era a mudança de variáveis entre o ambiente de teste e o real, como por exemplo as configurações da base de dados…

Até ter adoptado uma metodologia que me permitia ao alterar apenas uma linha alternar entre os ambientes.

define('LIVE', true);
 
if(LIVE) {
error_reporting(0);
define('DB_HOST', 'localhost');
define('DB_USER', 'root');
define('DB_PASSWORD', '');
define('DB_DATABASE', 'basededadosxpto');
} else {
error_reporting(E_ALL);
define('DB_HOST', 'joaopedropereira.com');
define('DB_USER', 'joao');
define('DB_PASSWORD', 'pedro');
define('DB_DATABASE', 'joao_basededados');
}

Com esta metodologia só preciso de modificar a linha que define a constante LIVE como true ou false conforme esteja a trabalhar num ou noutro ambiente, podem também verificar ali a alteração do error_reporting, enquanto no caso do Ambiente Real não quero que sejam mostrados nenhuns erros aos visitantes por questões quer de segurança quer de aspecto, no caso do Ambiente de Teste quero saber todos os pormenores.

Utilizar Output Buffering

Utilizar Output Buffering é uma excelente maneira de optimizar a performance de uma aplicação em PHP. Sem Output Buffering a sua aplicação só vai mostrar o HTML no fim de toda a página estar carregada, com o Output Buffering a sua aplicação mostra o HTML já carregado quando o programador ordena!

O Developer Brian Cray criou um artigo muito interessante sobre este assunto para a DevTips. Veja-o aqui.

Utilizar Sistemas de Caching

Os Sistemas de Caching são interessantes para aumentar a performance de uma aplicação em PHP. No entanto há que ter em atenção alguns aspectos como por exemplo numa amostragem de resultados em tempo real não se podem utilizar sistemas de caching ou então teremos dados desactualizados…

Existem sistemas prontos a usar mas também podemos desenvolver o nosso sistema de caching como por exemplo algo do género:

$cache_file = 'cache_files/' . md5($_SERVER['SCRIPT_URI']);
$cache_time = 1200 * 60; //60min*6 * 60 segundos (6HORAS)
 
if(file_exists($cache_file) AND is_readable($cache_file) AND (time() - $cachetime < filemtime($cache_file))) {
require_once($cache_file);
} else {
ob_start();
 
/* o código do ficheiro */
 
$file = fopen($cachefile, 'w');
fwrite($file, ob_get_contents());
fclose($file);
 
ob_end_flush();
}

Sistemas de Caching:

• Memcached
• APC
• XCache

Eu não mordo…

Não tenha medo de comentar, não tenha medo de perguntar, de criticar ou elogiar! Qualquer dúvida pergunte, qualquer reparo faça-o, todas as opiniões e comentários são bem vindos aqui no blog.

Pode também divulgar o artigo, eu não acuso ninguém que divulgue o meu artigo nas diversas redes sociais ou nos próprios blogs (mencionando a fonte ou autor) de plágio .

Um dos aspectos a ter em conta ao desenvolver uma página web é a tipografia da mesma e felizmente para nós webdevelopers e webdesigners existem algumas ferramentas que nos permitem comparar diferentes combinações de propriedades de forma a escolher a melhor para cada trabalho.

Typetester

A ferramenta Typetester permite comparar até 3 fontes lado a lado.

É possível seleccionar qualquer fonte do seu computador (óptimo para fontes compradas) ou usar as fontes disponíveis que são as chamadas web-safe fonts pois são comuns a vários sistemas. É também possível personalizar a cor, o espaçamento, o tamanho, entre outros parâmetros.

É sem dúvida uma excelente ferramenta no que toca a decidir que fonte utilizar em cada elemento da página.

CSS Type Set

Esta ferramenta é talvez a melhor ferramenta existente nos nossos dias, ela permite sem alterar uma linha de código CSS alterar e personalizar completamente a tipografia de um texto introduzido, cor, espaçamento de caracteres e palavras, altura, e outros estilos utilizando uma interface de muito fácil utilização que vai gerando automaticamente o código CSS a incluir na página

Typechart

Esta ferramenta permite escolher entre uma variedade de fontes seguras para a web e ver o seu aspecto quer em Sistemas Operativos Windows, quer em Sistemas Operativos Mac.

Pode-se pesquisar fontes baseadas no estilo (negrito, itálico, etc), no seu tipo e escolher as fontes por nome.

Esta ferramenta disponibiliza também o código CSS para cada combinação de opções o que torna muito fácil a integração com os nossos trabalhos.

Flipping Typical

Para quem não se interessa em utilizar as fontes seguras e prefere utilizar no seu projecto uma outra fonte que se encontra no seu computador pode utilizar esta ferramenta. O que esta ferramenta faz é listar as fontes existentes no computador do visitante e mostrá-las de forma a poder o utilizador seleccionar a que mais lhe interessa para o seu projecto.

Atenção que é bastante relativo, pois no mesmo computador encontra mais ou menos fontes dependendo dos browsers por exemplo…

E vocês que ferramentas tipográficas utilizam?

O que vos venho mostrar hoje é como dificultar o trabalho a pessoas que queiram explorar vulnerabilidades no vosso sistema programado em ASP. Esta semana tive um trabalho em mãos que consistia em resolver um problema num site Inglês programado em ASP pois este andava a ser atacado por hackers através de SQL Injection e através desta técnica também criavam ataques de XSS. Não precisei de muito tempo até identificar um possível buraco que pudesse ser explorado. Depois de alguns testes lá consegui obter informações sobre a base de dados desse site mas também sobre outras bases de dados existentes no mesmo servidor o que mostra não só a falta de cuidado do programador mas também do alojamento, mas como o segundo caso não me dizia respeito tratei de corrigir o primeiro.

Como Validar Dados Em ASP

Existem várias maneiras de validar dados quando estamos a desenvolver aplicações em ASP.

Função: IsNumeric()

A maior parte dos dados passados através de parâmetros nos URL são valores numéricos correspondentes a ID’s, assim a função que a linguagem ASP traz por defeito (built-in) IsNumeric() chega para verificar se os valores dos parâmetros passados correspondem a um número. Foi isto que utilizei para o caso em especifico. O programador tinha feito algo como:

GetNews = "SELECT NewsID, campox, campoy, Imagem1, Imagem2, Artigo FROM empresa_News WHERE NewsID = '"&request("id")&"' "
Set RSNews = MyConn.execute(GetNews)

E isto passava o valor do id sem qualquer tipo de validação. Passando agora a algo como

if IsNumeric(request("id")) === TRUE then
GetNews = "SELECT NewsID, campox, campoy, Imagem1, Imagem2, Artigo FROM empresa_News WHERE NewsID = '"&request("id")&"' "
Set RSNews = MyConn.execute(GetNews)

Mas podiam ter sido utilizadas outras técnicas caso não se tratasse de um valor numérico.

Escape dos Dados

function stripQuotes(str)
stripQuotes = replace(str, "'", "")
end function

Esta função vai fazer com que todos os caracteres ‘ desapareçam, pode-se adaptar esta função para outros caracteres, o que é algo que aconselho vivamente a fazerem, bem como a palavras como script, xp_, select, drop, update, where, entre outras.

Desafio

Desafio todos os leitores a criarem uma função em ASP para fazer uma validação e tratamento dos dados protegendo as páginas de SQL Injection e de ataques XSS. Para isso só precisam de deixar a vossa função nos comentários.

A melhor função será publicada num post com uma menção para o seu autor.

Show some love, divulguem e participem

O que é a Usabilidade?

A Usabilidade é um termo utilizado para mostrar a facilidade de utilização e compreensão de uma interface, está directamente ligada à facilidade que o utilizador tem em alcançar os seus objectivos.

A  o estudo da Usabilidade numa aplicação web é muito importante para tornar a aplicação web mais eficiente e produtiva! A Usabilidade está também intimamente relaccionada com a Acessibilidade de uma aplicação web e sua Optimização, e em casos não relaccionados com o assunto especifico de criação de uma aplicação web também são tidos em conta no estudo da Usabilidade aspectos como a ergonomia.

Podemos definir Usabilidade separando-a em vários componentes:

• Learnability: How easy is it for users to accomplish basic tasks the first time they encounter the design?
• Efficiency: Once users have learned the design, how quickly can they perform tasks?
• Memorability: When users return to the design after a period of not using it, how easily can they reestablish proficiency?
• Errors: How many errors do users make, how severe are these errors, and how easily can they recover from the errors?
• Satisfaction: How pleasant is it to use the design?

Fonte: Usability 101: Introduction to Usability

Porque devem ser feitos estudos de Usabilidade?

Na criação de aplicações web um dos pontos que se deve ter sempre em mente durante a fase de desenho da interface é a Usabilidade da mesma, é necessário ver a Usabilidade como condição essêncial para qualquer interface!  achou interessante? Clique aqui para ler mais…

Já utiliza a compressão gzip na sua página? Espero que sim, isto porque tal como vou mostrar hoje, comprimir a vossa página com gzip torna a página surpreendentemente mais rápida!

Para demonstrar isto guardei a página da SAPO que é uma página com bastante conteúdo, e por isso bastante pesada, tem cerca de 413Kb.

O que se poupa comprimindo os ficheiros com gzip? Velocidade e bandwidth, então para host’s em que este segundo é limitado esta é uma técnica imprescindível!

Nos testes seguintes apenas vou utilizar o ficheiro HTML da SAPO e não todos os recursos externos (imagens, css e JavaScript).

achou interessante? Clique aqui para ler mais…