Pfff

Pfff es un conjunto de utilidades desarrolladas por Facebook y que permiten realizar análisis estático, análisis dinámico, refactoring y otras cosas más. Fue desarrollado principalmente para PHP, pero tambien incluye soporte para otros lenguajes. Sin duda algo que se puede usar para reducir el número de posibles errores.

Cuidado al utilizar unserialize() en PHP

Azares de la vida me hacen trabajar nuevamente con PHP a tiempo completo. Al igual que hace algunos años atrás, todavía existen algunas características de este lenguaje que me sorprenden. En este caso, se trata la función unserialize(). En la documentación, existe la siguiente advertencia.
No proporcione datos no fiables provenientes del usuario a unserialize(). Revertir la serialización puede resultar en que haya código que se cargue y ejecute debido a la instanciación y autocarga de objetos, y un usuario malicioso podría ser capaz de explotar esto. Se debe utilizar un formato de intercambio de datos seguro y estándar, como JSON (a través de json_decode() y json_encode()) si es necesario pasar datos serializados al usuario.
Por ejemplo, si en algún lugar de una aplicación existe la siguiente clase.
php:

<?php
class Foo {
  private $tmp_file;
  public function __construct() {
    $this->tmp_file = tempnam( '/tmp', 'foo' );
  }
  public function doSomething() {
    // ...
  }
  public function __destruct() {
    @unlink( $this->tmp_file );
  }
 
El riesgo de utilizar unserialize() con datos que provienen de fuentes externas, ejemplo unserialize( $_GET['foo'] ), permitiría a un atacante eliminar cualquier archivo al que el servidor web tenga acceso (de escritura). Usando sólo código PHP no hay muchas opciones para protegerse de ataques si uno está obligado a usar ésta función. Espero que algún día la siguiente extensión sea incluída en la versión oficial de PHP: https://wiki.php.net/rfc/secure_unserialize. La moraleja de la historia es leer la documentación y escoger con cuidado los formatos que uno usa para este tipo de escenarios.

HTML5 Template Tag: la novedad

Para solventar el uso de templates, personalmente uso y me encanta Mustache, ya que tiene El 7 de mayo, se publicó el borrador de la etiqueta template de HTML5, Y se puede hacer algo como esto:
HTML:

<template id="template-row">
  <tr class="">
     <td></td>
     <td></td>
     <td></td>
  </tr>
</template>
 
Y repetir el template dentro de una tabla con el siguiente script:
JAVASCRIPT:

var t = document.querySelector("#tabla tbody"),
row = document.getElementById("template-row");
var td = row.getElementsByTagName("td");
td[0].textContent = "1";
td[1].textContent = "Nombres";
td[2].textContent = "Apellidos";
t.appendChild(row.content.cloneNode(true));
 
El código anterior permite reutilizar el template dentro de una tabla en cualquier contexto. Este ejemplo fue la fila de una tabla, sin embargo podemos usarlo con listas, párrafos, imágenes o lo que se nos ocurra siguiendo algunas limitaciones.

Para tener en cuenta:

  • El código dentro de template no es mostrado por el navegador.
  • El código dentro de template no es parte del documento, es decir que document.getElementById('#template-row'); no tiene hijos.
  • Los templates son inactivos hasta que son usados, es decir, que las imágenes no se cargan, archivos multimedia no son reproducidos y scripts no son ejecutados.
Por el momento ningún navegador soporta la etiqueta, pero ya lo veremos muy pronto. Podemos ver un ejemplo completo se puede ver en JSFiddle, por mientras todavía nos queda Mustache.

Visto en Frontend.pe.