monday

Hace rato en el canal de #linux_mx  alguien me preguntó como hacer en PHP para obtener el día de la semana dada una fecha.

Es algo muy sencillo. Aquí esta como se haría a traves de una función:

#!/usr/bin/php -q
<?
function getDayOfWeek($day, $month, $year){
return date(‘l’, mktime(0, 0, 0, $month, $day, $year));
}

$month = 8;
$year = 2008;
$day = 11;

print getDayOfWeek($day, $month, $year);
// imprimiría “Monday”

?>

#!/usr/bin/php -q
<?
//Configurar aqui //////////
//inicio
$year_start = 2007;
$month_start = 11;
$day_start = 1;

//fin
$year_end = 2008;
$month_end = 3;
$day_end = 10;
///////////////////////////////

if( ! checkdate($month_start, $day_start, $year_start)){
     print "invalid start date";
     exit;
}

if( ! checkdate($month_end, $day_end, $year_end)){
     print "invalid end date";
     exit;
}

//obtener el dia siguiente a la fecha final indicada
$day_end++;
if (! checkdate($month_end, $day_end, $year_end)){
     $day_end = 1;
     $month_end++;
     if (! checkdate($month_end, $day_end, $year_end)){
          $month_end = 1;
          $year_end++;
     }
}

//no editar abajo
$year = $year_start;
$month = $month_start;
$day = $day_start;

$finish = 0;
while ( ! $finish && checkdate($month, $day, $year)) {
     $date = $month . '-' . $day . '-' . $year;
     //////////////////////////////////////
     //hacer algo con la fecha aqui
     print  $date; print "\n";
     //////////////////////////////////////

     $day++;
     if (! checkdate($month, $day, $year)){
          $day = 1;
          $month++;
          if (! checkdate($month, $day, $year)){
               $month = 1;
               $day = 1;
               $year++;
          }
     }

     if( $year == $year_end && $month == $month_end && $day == $day_end){
          $finish = true;
     }
}
?>

Acostumbro tener cada script en un directorio dedicado y crear un host virtual en apache para cada script. Estos scripts están accesibles localmente en mi pc. Mi preferencia es inventar un nombre de dominio ficticio el cual configuro localmente en mi pc, creando una entrada en el archivo de hosts ( /etc/hosts ) de mi pc, para no trabajar con el típico localhost. He venido usando nombres de dominio con la extension .us (por ningun motivo en especial, simplemente se me ocurrió).

Un buen día, se me hizo tedioso el proceso que tenia que hacer para configurar uno de estos hosts en mi pc, tarea repetitiva, y como todo buen programador decidí escribir un pequeño script para automatizar esta tarea.

El script es sencillo, está escrito en bash. Y a continuación lo pongo a disposición de todo aquel que guste leerlo, usarlo y/o modificarlo. La advertencia que hago es que solo esta probado bajo ubuntu con apache2 como webserver.

Como se usa? muy facil:

sudo create_vhost nombredeldomino.extension [caracter opcional extra]

Ejemplo:

sudo create_vhost midominio.us 2

Nota: el argumento ’2′ que pongo en el ejemplo es opcional. Acostumbro nombrar mis dominios de prueba de la forma www2.midominio.us, el caracter ’2′ es para eso, pero si omites el 2, el vhost se creara como www.midominio.us.

El script hara lo siguiente:

-Crear el archivo del vhost en tu /etc/apache2/sites-available

-Crear el enlace simbólico requerido en /etc/apache2/sites-enabled apuntando al archivo mencionado en la linea anterior.

-Crear una entrada en el archivo /etc/hosts para crear el dominio ficticio que estará disponible solo localmente apuntando a la ip local 127.0.0.1

-Crear el directorio donde se instalará el script en /var/www[2]/midominio.us

-En mi caso particular, también copia la librería de depuración que utilizo para mis scripts php en ese directorio… pero eso no lo incluyo aquí, ya que eso es tema aparte. Esas líneas las exclui del script que aqui publico.

-Por ultimo, reinicia el servidor web apache.

Nota: es importante correr el comando con sudo, ya que de otra manera el script no podrá realizar los cambios necesarios en el sistema, dado que el usuario normal no tiene privilegios suficientes. Para mayor facilidad, yo recomiendo ponerlo en /bin/ para que esté disponible siempre sin proveer la ruta, y luego darle la propiedad de ejecutable ( sudo chmod a+x /bin/create_vhost ).

Para descargar el código hacer click aquí

El código es este:

#!/bin/sh    

#get domain name from parameter
domain=$1;    

#if no domain provided, die
if [ -z $domain ] ; then
	echo "missing domain name"
	exit
fi     

#if second parameter provided use it
alt_www=$2;    

#get count of sites in apache
site_count=`find /etc/apache2/sites-enabled/ -type l |wc -l`    

#figure out number format depending of count
if [ $site_count -lt 10 ] ; then
	site_count_formatted="00${site_count}"
elif [ $site_count -lt 100 ] ; then
	site_count_formatted="0${site_count}"
else
	site_count_formatted=$site_count
fi    

#set some variables
adminemail="user@domain.com"
sites_available_dir="/etc/apache2/sites-available"
sites_enabled_dir="/etc/apache2/sites-enabled"
sites_available_file="${sites_available_dir}/${domain}"
sites_enabled_file="${sites_enabled_dir}/${site_count_formatted}-${domain}"
document_root="/var/www${alt_www}/${domain}/"    

#create vhost for apache
touch $sites_available_file
echo "" > $sites_available_file
echo "        ServerName www${alt_www}.${domain}" >> $sites_available_file
echo "        ServerAdmin ${adminemail}" >> $sites_available_file
echo "        DocumentRoot /var/www${alt_www}/${domain}" >> $sites_available_file
echo "        ErrorLog /var/log/apache2/${domain}.error.log" >> $sites_available_file
echo "        CustomLog /var/log/apache2/${domain}.access.log combined" >> $sites_available_file
echo "" >> $sites_available_file
echo "        " >> $sites_available_file
echo "                Options FollowSymLinks" >> $sites_available_file
echo "                AllowOverride None" >> $sites_available_file
echo "        " >> $sites_available_file
echo "" >> $sites_available_file
echo "        " >> $sites_available_file
echo "                Options Indexes FollowSymLinks MultiViews" >> $sites_available_file
echo "                AllowOverride All" >> $sites_available_file
echo "                Order allow,deny" >> $sites_available_file
echo "                allow from all" >> $sites_available_file
echo "        " >> $sites_available_file
echo "        LogLevel warn" >> $sites_available_file
echo "        ServerSignature Off" >> $sites_available_file
echo "" >> $sites_available_file
ln -s $sites_available_file $sites_enabled_file    

#create entry in the hosts file
echo "127.0.0.1	www${alt_www}.${domain}" >> /etc/hosts    

#create the directories
mkdir -p ${document_root}    

#restart apache
/etc/init.d/apache2 restart

Para evitar este proceso y hacerlo programáticamente en PHP, escribí algo de codigo, que aquí pongo a disposición del que le interese, el cual sirve para generar algunos elementos HTML en forma fácil y sencilla. Es un conjunto de clases, donde cada clase sirve para generar un elemento HTML. Trae las siguientes clases: table, form, radio, radioset, checkbox, checkboxset, select, anchor, paragraphp, textbox, textarea, hiddenbox, heading, y algun otro elemento que se me escapa por ahorita. Conforme vaya creando mas los ire agregando ahi mismo.

Si te interesa checar esta libreria, ver ejemplos y código, clickea aquí.

Para descargarla clickea aquí

$sql = "select count(1)
from usuarios
where username = '" . $_POST["username"] . "'
and password = '" . $_POST["password"] . "'";

Aquí vemos que la información enviada por el usuario es tomada tal cual y pasada por concatenación a la variable $sql , que almacena la consulta que se va a enviar hacia la base de datos. El usuario no se da cuenta que al hacer esto está dejando la puerta abierta al sistema. Definitivamente no es una buena idea. Veamos por que: supongamos que el usuario malicioso introduce como password “cualquier-password’ or 1=1; –“. El resultado de la concatenación seria

$sql = "select count(1) as count
from usuarios
where username = "cualquier-user'
and password = 'cualquier-password' or 1=1;"

Notese que el incluir la condición or 1=1; hara que las condiciones especificadas sean evaluadas en su conjunto como verdaderas y la autenticación procederá. Después el usuario termina su sentencia con – para indicar que cualquier otra cosa más que siga sea considerada como comentario o ignorada.

La consulta resultará exitoso y dará entrada al sistema al usuario malicioso. Imagina las consecuencias que esto puede tener. Eso es solo un ejemplo de lo malo que puede resultar el no validar apropiadamente la información proveida por el usuario.

El canal de #php-es de la red FreeNode de IRC, canal en el cual asisto con regularidad, he visto que con frecuencia llega gente preguntando como evitar inyecciones de SQL en su sistema. En mi actividad como programador he tenido oportunidad de ver algunas clases escritas en PHP para facilitar la interacción con bases de datos (wrappers) para PostgreSQL y para Oracle. Esto me llevo a la idea de adaptar dicha funcionalidad en una clase en PHP para MySQL que permita contrarestar con facilidad el peligro de las inyecciones de SQL.

Dicha clase la puedes bajar aqui.

MODO DE USO

Usando el mismo ejemplo citado al principio tendriamos que hacer lo siguiente:

<?
include_once("clsDb.php"); //incluyendo la clase en cuestion
$db = new clsDb('localhost', 3306, 'midatabase', 'username', 'password', 0); //instanciando clase
$sql = "select count(1) as count from usuarios where username = :usuario and password = :password";
$r = $db->Parse($sql);
$r->BindByName(":username", $_POST["username"]);
$r->BindByName(":password", $_POST["password"]);
$r->Execute();
$row = $r->GetRow();
if ( $row->count == 1){
//se encontro un usuario con esa informacion de acceso.
} else {
//no se encontro ningun usuario con esa informacion de acceso
}
?>

En este ejemplo, vemos que la sentencia sql no es formada por concatenación como en el caso anterior, sino que ya viene completa, aunque viene escrita con un par de “marcadores” los cuales van a ser sustituidos con los valores apropiados, pero antes seran pasados por un proceso de sanitación que previene que el usuario malicioso del sistema pueda inyectar sql y hacer que el sistema haga otras cosas diferentes a las que fue diseñado.

Asi como se usan estos marcadores en combinacion con la funcion “BindByName” en una sentencia tipo select, se usan de igual manera para sentencias insert, update o delete. Es bastante sencillo. El chiste de esto es no confiar en que el usuario está dandonos un valor inofensivo, sino tomarlo como una potencial amenaza, y desactivar el peligro pasandolo por bindbyname. Espero le sea de utilidad a alguien.