Por ejemplo, si hacemos una aplicacación que se conecte con twitter, vamos a recibir ciertos datos que vienen en una enorme cadena de texto, pero la pregunta es: ¿cuántos caracteres recibiremos?… si no sabemos le pondremos algo así como 255, y probablemente estemos ocupando espacio adicional en el base de datos.

Bueno… a mi me pasó eso… y voy a compartir la información que investigué y que deduje para que se les haga más fácil la tarea XD.

ID = 10 caracteres (hablando de ID’s numéricos con auto-increment y “unsigned”)
Email =256 caracteres (64 antes de la @, y un máximo de 256)
Passwords = 32 caracteres si se almacenan en formato MD5 (recomendado)
Nombres = 100 (generalmente con eso alcanza… sino se puede ocupar un varchar de 255 o un tinytext)
ID de Facebook =64 caracteres (pues cambiaron hace poco el largo de la cadena en vista de que tienen muchos registrados)
Twitter Oauth Token = 50 caracteres
Twitter Oauth Token Secret = 50 caracteres
Twitter Username = 15 caracteres
RUT (chileno) = 12 caracteres (si se almacena con puntos y guión) o 9 caracteres (si se almacena sin puntos ni guión, que es lo más óptimo)
URL = Se supone que no hay un largo máximo definido, sin embargo leí por ahí que IE6 acepta un máximo de 2047 caracteres si la escribo en el navegador… raro, pero en verdad no sabría que largo (maxlength) recomendar. De todas formas yo generalmente pongo 255 ó 500 caracteres… DUDO que alguien tenga un sitio web con más qu eso (los 2047 caracteres probablemente se apliquen a un post en un blog, pero no a la URL de un sitio personal).

BuenoHay muchos otros tipos de datos, y por supuesto que pueden preguntar en los comentarios o aportar si tienen otros datos.

En GEEKBOX estuvimos haciendo las primeras pruebas de registro para el juego Brooks Brothers Mundial, y parte de este proceso correspondía a enviar correos a los usuarios que se registraban para poder validar sus cuentas. Estos correos se autogeneraban vía PHP y se enviaban con la típica funcion mail().

Resulta que extrañamente los correos dirigidos a cuentas de hotmail no llegaban (ni siquiera al spam), pues el sistema interno de hotmail los bloqueaba al ser generados por programación. La duda que le da a este servicio de correo (por la cual no quería aceptar los correos) era que éstos se enviaban desde una dirección IP xxx.xxx.xxx.xxx (la de los servidores del servicio de alojamiento), pero no era necesariamente la misma IP que la que utiliza el sitio en cuestión (que tiene una de las tantas direcciones IP de los servidores). Esto quiere decir que estos correos le producían “desconfianza” porque no sabía con certeza si eran enviados por terceros utilizando una dirección falsa o si eran enviados REALMENTE por el sitio. Asique, “ante la duda abstente” y ellos lo rechazan.

En resumidas cuentas no llegaban los correos y necesitaba una solución.

La solución!

Buscando y buscando logré entender como se tiene que hacer para que esto no ocurra: el concepto principal es asociarle a nuestro servidor un dato que defina cuales son las direcciones IP válidas para enviar correos “autorizados” por el sitio. Este “dato” es un “registro” (como los típicos registros A o CNAME) del tipo TXT que define los valores (IPs) para que los sistemas de correo (como Hotmail) puedan consultarle. Este “dato” es el llamado registro SPF o SPF record (Sender Policy Framework).

En resumidas cuentas, si Hotmail ve que le están enviando un correo desde la IP xxx.xxx.xxx.xxx diciendo que viene desde tusitio.com, se conectará tusitio.com y consultará si dentro de sus registros del tipo TXT hay alguno que tenga la información de los SPF. Si la encuntra, consultará cuales son las direcciones IP autorizadas desde las cuales el sitio enviará correos. Si todo está en orden (la IP desde donde se envía el correo calza con la autorizada por el servidor) recibirá el correo sin problemas; si no, lo rechazará y probablemente asumirá como que el correo nunca existió.

Un ejemplo de registro TXT que contiene esta información es el siguiente (para Dreamhost):

v=spf1 ip4:64.111.100.0/24 ip4:66.33.201.0/24 ip4:66.33.216.0/24 ip4:208.97.132.0/24
ip4:208.97.187.0/24 ip4:208.113.200.0/24 ip4:208.113.244.0/24 ip4:208.113.175.0/24 mx -all

Este dato se le asocia al servidor y listo. Luego de un rato todo debería funcionar normalmente.

Hay que tener en consideración que los SPF son independientes para cada subdominio. Es decir, que si los aplicas en tudominio.com, no van a ser considerados para tusubdominio.tudominio.com. Hotmail no los considera el mismo sitio (pues no lo son).

Para saber si tu servidor tiene asociado algún registro SPF puedes visitar este sitio de microsoft donde revisa los registros A, MX y SPF de tu servidor. Si encuentra algún SPF te lo muestra, sino, te muestra los registros MX para que puedas crear (con su wizard) los registros que necesitas.

En este caso, vamos a ver algunas formas de optimizar el código para trabajar más rápido y de pasadita poder entender cuando vemos que alguien programa así.

Resumir los if…else

La sentencia if…else está compuesta de tres partes escenciales:

1. if ( xxx ) (xxx es lo que estamos condicionando)
2. { yyy } (yyy es lo que deseamos que suceda si el if anterior es positivo)
3. else { zzz } (zzz es lo que deseamos que suceda en caso contrario)

En base a estos tres elementos, podemos utilizar una sola línea para “resumir” la sentencia:

xxx?yyy:zzz;

La línea anterior quiere decir que “si xxx es correcto, entonces haz yyy; si no, haz zzz“. Veamos un ejemplo práctico:

Supongamos que estamos dentro de un for. Tenemos un contador en la variable $count y queremos mostrarlo en pantalla. Sería algo así:

if($count>0){ $miVariable="mayor a cero"; }
else{ $miVariable="cero"; }
echo $miVariable;

Esto se puede resumir en:

$miVariable=$count>0?"mayor a cero":"cero";
echo $miVariable;

Ahorrar líneas de echo

Muchas veces se define una variable y luego se imprime en pantalla el resultado. Generalmente se hace así:

$miVariable="xxx";
echo $miVariable;

Esto se podría resumir así:

echo $miVariable="xxx";

Como ven, no es necesario volver a escribir la variable en una nueva línea. Se puede hacer el echo en el mismo momento en que se define la variable. La idea de esto no es “ahorrar KB” sino que ahorrar tiempo.

El ejemplo del punto anterior podría escribirse así:

echo $miVariable=$count>0?"mayor a cero":"cero";

O incluso así, si no es necesario guardar los datos en una variable:

echo $count>0?"mayor a cero":"cero";

Por ahora les dejo sólo estas…cuando me acuerde de otras las iré agregando

Acá veremos algunas formas de tener los sitios en el servidor y URL final y que sólo podamos verlo nosotros para desarrollar lo que falte y configurar los últimos detalles antes de hacerlo público.

Redireccionar por IP

Una de las maneras más simples es redireccionar a todos los otros visitantes a alguna dirección específica mientras se desarrolla el sitio. Para esto, utilizaremos nuestra IP, para que el sitio nos reconozca y a los demás usuarios los envíe a la dirección especificada.

La dirección IP es el número único que asigna la red a cada conexión de internet.

Para reconocer una IP, hay que fijarse en su formato: xxx.xxx.xxx.xxx (por ejemplo, 200.20.50.125).

Para saber tu IP puedes utilizar una de las tantas herramientas que hay en internet.

Para utilizar este sistema, es necesario escribir este código en la primera línea de la página principal:

<?php if($_SERVER['REMOTE_ADDR']!="xxx.xxx.xxx.xxx"){
    header("Location: http://www.sitio-alternativo.com/");
} ?>

El código utilizado dice básicamente lo siguiente: si(la IP del visitante es distinta a “xxx.xxx.xxx.xxx”) entonces { llévalo a http://www.sitio-alternativo.com/ }.

Por supuesto que en esta línea hay que cambiar xxx.xxx.xxx.xxx por tu IP y http://www.sitio-alternativo.com/ por el sitio al que quieres que sean reenviados.

Como el código utilizado es PHP debemos tener claro que el archivo debe ser algo así como index.php (.html no servirá) y que el servidor debe soportar PHP.

Otra alternativa es que, en vez de que redirija a algúna otra URL, muestre una trozo de código HTML, que puede ser un mensaje o una página completa:

<?php if($_SERVER['REMOTE_ADDR']!="xxx.xxx.xxx.xxx"){
    include("aviso.html");
    exit();
} ?>

De esta manera, si no es la IP especificada, le mostrará el contenido del archivo aviso.html (que debe estar en el mismo servidor). El exit() que viene al final de esa línea es para que no se haga nada más que mostrar el archivo aviso.html.

Hay que tener cuidado porque como el número es asignado por conexión y no por computador, si tienes una conexión compartida (por ejemplo en tu oficina o casa), todos los demás usuarios de esa misma conexión podrán ver tu sitio.

.htaccess

Esta es otra manera de conseguir lo mismo: utilizar el archivo .htaccess que está en la raíz del servidor (si no está en tu servidor lo puedes crear).
Para poder realizar la redirección con este archivo es necesario utilizar el siguiente código:

ErrorDocument 403 http://www.sitio-alternativo.com/
Order deny,allow
Deny from all
Allow from xxx.xxx.xxx.xxx

De esta manera, le diremos al servidor que solo le muestre a la página a los visitantes de la IP xxx.xxx.xxx.xxx y al resto que los reenvíe a la URL especificada.

Nombre de usuario y contraseña

Este sistema requiere de dos archivos: .htaccess y .htpasswd (ambos en la raíz de nuestro sitio). Si queremos utilizar este sistema necesitaremos de mucha más paciencia (a menos que ya tengamos experiencia), pues es un poco más complejo.

Mi idea no es generar un post enorme, y creo que con las dos opciones anteriores basta y sobra. Sin embargo, para los que quieran averiguar como hacerlo, acá les dejo un buen tutorial.

Otro dato que se debe tener en cuenta en que muchas veces los servidores (a través del panel de control), permiten automatizar la tarea de crear estos dos archivos. Basta con configurar unas cuantas cosas y listo, asique les recomiendo que partan por ahí primero.

Entonces: vamos al grano. Lo primero es saber que es lo que queremos: Publicar el último tweet de algún usuario de twitter en un sitio web.

Para esto, tenemos que tener alguna manera de recibir los datos del usuario, y que mejor que el RSS que ofrece twitter. Este archivo está linkeado en la página de cada usuario y su URL es algo similar a la siguiente:

http://twitter.com/statuses/user_timeline/14057420.rss

El ID de usuario corresponde al número que aparece antes de “.rss”.

Por lo tanto, ahora tenemos que leer el XML de la siguiente manera:

<?
$url="http://twitter.com/statuses/user_timeline/14057420.rss";
$xmlstr = file_get_contents($url);
$xml = simplexml_load_string($xmlstr);
$tweet = $xml->channel->item[0]->title;
echo str_replace("peivem_com: ","",utf8_decode($tweet));
$fecha = $xml->channel->item[0]->pubDate;
$fecha = strtotime($fecha);
?>

En este caso, el usuario es “peivem_com”. Por lo mismo, en la línea 6 del código anterior reemplazamos “peivem_com: ” por “” (nada). Esto lo hacemos porque cada tweet del RSS viene con el nombre de usuario seguido de “: “. De esta manera, sólo dejaremos el tweet del usuario.

En esta misma línea, está la función str_replace(), que recibe 3 datos: el texto a buscar, el texto a reemplazar y el texto original. En este último, pasamos el valor $tweet, pero dentro de la función utf8_decode(), que nos servirá para decodificar los caracteres “raros” que vengan en la cadena, producto de la distinta codificación.

En la línea 7 recibimos la fecha y en la 8 la transformamos a un valor “universal” por así decirlo. De esta manera, donde queramos mostrar la fecha escribiremos la siguiente línea:

<? echo date('d/m/Y',$fecha); ?>

Y eso es todo. Es algo simple y que puede ser modificado fácilmente.

En este caso, explicaré como se puede exportar información en un archivo de excel.

Como generar el archivo

Primero, deberás crear un archivo PHP en blanco. Llamémoslo usuarios.php.

Dentro de este archivo, se debe leer el contenido de la base de datos y mostrarlo en formato de tabla. Algo como esto:

Una vez que tengamos nuestra página (una página en blanco que contiene solamente una tabla de excel), se debe agregar la cabecera de php, a través de este código:

<?php
header("Content-Type: application/vnd.ms-excel");
header("content-disposition: attachment;filename=NOMBRE_DEL_ARCHIVO.xls");
?>

Esta cabecera le dice al archivo que le diga al navegador “yo soy un archivo de excel”, por lo cual el navegador lo reconocerá como tal, independiente de que su extensión sea “php”.

Como verán, en la segunda línea de la cabecera se define que el archivo será un attachment, por lo que el navegador intentará descargarlo. En la misma línea, también se define el nombre con que se desarcargará el archivo (filename). En este caso, el archivo se llamará NOMBRE_DEL_ARCHIVO.xls.

“XLS” es la extensión de excel, por lo tanto no debemos cambiarla. Lo que si podemos cambiar es “NOMBRE_DEL ARCHIVO”, en el cual podemos poner lo que queramos. Hay que tener cuidado de utilizar solo caracteres simples (numeros, letras y guiones). Si se utilizan espacios, el nombre del archivo se cortará al primer espacio.

Lo que podemos hacer, para que quien descargue el archivo siempre sepa que versión está descargando, es utilizar un nombre de archivo como el siguiente:

...NOMBRE_DEL_ARCHIVO_".date('d_m_Y').".xls...

En este caso, el nombre de archivo incluirá el día, mes y año antes de la extensión.

Introducción

Entre muchos de los servicios que ofrece Gmail, está la posibilidad de recibir un feed con los correos no leídos de nuestra bandeja de entrada (más información aquí).

Basándonos en la información que encontré en este post, y utilizando la librería simpleXml de PHP, podremos crear fácilmente un notificador de correos nuevos en nuestra bandeja de entrada.

Lo primero que debemos hacer es crear la conexión con el servicio de feed RSS de Gmail. Para esto, utilizaremos la librería curl de PHP:

Esta vez no publicaré el código, pues está el archivo de ejemplo para descargar, que contiene el código completo en un archivo PHP.

Con esta conexión creada, recibiremos de vuelta (en la variable $data), un XML con la lista de los últimos correos.

Con esta información en nuestro poder, ya podemos utilizar simpleXml para mostrar los datos en pantalla.

Descargar el ejemplo completo

Limitaciones

El RSS que entrega Gmail, sólo muestra la cabecera de los mails, igual como lo vemos en la bandeja de entrada de Gmail. No permite ver el cuerpo del mensaje (sólo el resumen), por lo tanto tendremos que utilizarlo para poder ver la lista y cantidad de nuevos correos, y utilizar el link que viene en cada entrada del RSS para redirigir a la página de Gmail donde se podrá ver el correo completo.

• Los usuarios y sus privilegios (en MySQL)
• La configuración de apache
• El filtrado de formularios y URL’s

Este post está enfocado, principalmente, a quienes pretenden montar un servidor en su computador (localhost) pues, por lo menos en los servidores pagados, la seguridad con los privilegios de MySQL está implementada.

Los problemas de seguridad

Los usuarios y sus privilegios (en MySQL)

El principal problema de montar un servidor en casa (localhost), es que los software que se utilizan para esto – EasyPHP, Appserv, etc – vienen con usuarios por defecto… el famoso “_root” sin contraseña. Esto implica que cualquier persona con un poco de conocimientos de hackeo, pueda botar la base de datos u obtener información de ella si es que el usuario por defecto no se cambia (ya que el hacker sabría que el nombre de usuario es “_root” y no tiene contraseña).

La configuración de apache

Además de eso, está el problema de configuración de apache, pues appserv, por ejemplo, establece todas las variables como globales por defecto (por ejemplo, si recibo una variable por el metodo “POST”, simplemente escribo “echo $nombre_de_la_variable” para mostrarla en pantalla). Si bien las variables globales son más cómodas, implican riesgos en seguridad y confusión, porque si se necesita recibir la variable “admin_pass” por el método POST y el “hacker” escribe una url como “…index.php?admin_pass=miclave“, se estaría recibiendo la variable por otro método y poniendo en riesgo la seguridad del sitio.

El filtrado de formularios y URL’s

Otro problema es la seguridad con PHP, pues si no se filtra la información recibida a través de formularios o de la URL, se esta dando pie para que gente mal intencionada ejecute scripts que pongan en riesgo la seguridad de nuestro sitio.

Las soluciones

Antes que nada, se debe definir el software a utilizar. Por mi parte, y por conceptos de seguridad, yo recomiendo EasyPHP, pues es mucho mas “paranoico” que Appserv, y viene mucho más limitado en conceptos de seguridad y mensajes de error; es decir, que viene “mejor configurado” (en conceptos de seguridad) por defecto, y no hay que preocuparse de cambiar muchas cosas.

Por esto, la siguiente solución la veremos específicamente para EasyPHP (aunque también se aplica para Appserv).

Los usuarios y sus privilegios (en MySQL)

Lo primero que se debería hacer, al montar un servidor en casa, es definir un usuario que tenga todos los privilegios necesarios para administrar nuestro sitio.

Para esto, hay que realizar las siguientes operaciones:

1. Ir a PhpMyAdmin (la administración de MySQL) y crear un nuevo usuario (o modificar “_root”) con un username y un password que no sea tan obvio.
2. Abrir el archivo de configuración llamado “config.inc.php” (ubicado en …EasyPHP1-8\phpmyadmin\), las variables $cfg['Servers'][$i]['user'] = ‘_root’; y $cfg['Servers'][$i]['password'] = ”;, y poner ahí el username y password definido para el administrador de MySQL en el paso anterior.
3. Eliminar el usuario “_root” (en el caso de haber creado otro usuario para la administración), pues si se deja, el sitio seguirá siendo inseguro.

A partir de este punto, si se quiere, se puede crear otro usuario con menos privilegios (por ejemplo que no pueda crear o eliminar tablas), que sea con el que nos conectemos desde el sitio y, de esta manera, correr menos riesgos.

La configuración de apache

El tema de la configuración pasa, primero, por elegir el servidor adecuado. En el caso de EasyPHP, la configuración por defecto es bastante buena si hablamos de seguridad, pero hay que fijarse bien (a la hora de programar) en solucionar todos los errores y en los mensajes de error que devuelve, pues aveces dice “imposible conectar a la base de datos MiBase”, por lo que estaríamos entregando información privada el importante.

Hay otros conceptos que son más técnicos (y que no serán abordados en este post), como la cantidad de usuarios máximos conectados a la base de datos, y que hacer cuando se sobrepasan los límites; los tamaños de los archivos que se pueden subir; los privilegios de las carpetas, etc que se deben tener en cuenta a la hora de configurar el servidor.

El filtrado de formularios y URL’s

Personalmente, he ido creando mis propias funciones de seguridad para filtrar las entradas por cookies, formularios, y los métodos GET y POST.

Las funciones, las almaceno en un archivo validar.php y luego, simplemente, las inserto al principio de cada uno de mis archivos donde necesite validar variables (a través del comando include(“validar.php”);).

La manera de utilizarlas, es definiendo las variables de la manera:

$mi_variable=varpost("nombre_de_la_variable_a_recibir" , "valor en caso de no encontrarse la variable" , largo en caracteres);

Después de eso, solo queda utilizar $mi_variable en mi archivo php. Esto asegura que la variable quedará definida (y no aparecerán mensajes de error por variables no definidas). También asegura recibir la variable por el método especificado (y no por otro) y definirle un tamaño máximo (para no recibir, por ejemplo, mensajes de 12404502345023 caracteres).

Las funciones son las siguientes:

function validar( $variable, $tam ){
 $va=htmlentities($variable,ENT_QUOTES,"UTF-8");
 mysql_escape_string($va);
 $va=substr ($va, 0, $tam);
 return $va;
}

function varget($valor, $vacio, $tam){
 if (empty($_GET[$valor])) { $res=$vacio; }
 else { $res=validar($_GET[$valor],$tam); }
 return $res;
}

function varpost($valor, $vacio, $tam){
 if (empty($_POST[$valor])) { $res=$vacio; }
 else { $res=validar($_POST[$valor],$tam); }
 return $res;
}

function varcookie($valor, $vacio, $tam){
 if (empty($_COOKIE[$valor])) { $res=$vacio; }
 else { $res=validar($_COOKIE[$valor],$tam); }
 return $res;
}

function varsess($valor, $vacio, $tam){
 if (empty($_SESSION[$valor])) { $res=$vacio; }
 else { $res=validar($_SESSION[$valor],$tam); }
 return $res;
}

Conclusión

Estas son algunas de las medidas de seguridad básicas para no pasar por inculto a la hora de diseñar un sitio y de montar un servidor casero.

Espero que quien las lea las tome en cuenta, las aproveche; mejoren las funciones de seguridad y las adecuen para satisfacer las necesidades de su sitio.