XiTi WebAnalytics
En un post anterior habia mostrado como instalar el Sun Web Server 7 en Fedora8 utilizando el agregado PHP provisto por Sun, el agregado esta bien si solo deseas utilizar las funciones mas comunes o basicas del PHP5, por lo general el PHP incluido en las distribuciones de linux viene con mas extensiones que le brinda caracteristicas adicionales al lenguaje.
Ahora bien para usar el PHP5 que viene con la distribuccion de Linux solo necesitamos hacer un par de ajustes al archivo obj.conf .
Service type="magnus-internal/php" fn="responder-fastcgi" bind-path="localhost:3101" app-path="/usr/bin/php-cgi" app-env="PHP_FCGI_CHILDREN=2" app-env="PHP_FCGI_MAX_REQUEST=200" app-env="FCGI_WEB_SERVER_ADDRS=127.0.0.1" app-env="LD_LIBRARY_PATH=/usr/lib/php"
agregamos la ruta hacia el cgi de php en el “app-path”, y la ruta donde estan las extensiones por lo general es “/usr/lib/php” en “app-env”
luego en la consola de administracion hacemos un pull & deploy de la configuracion y listo tendremos PHP5 que viene con la distro y todas las extensiones trabajando con nuestro Sun Web Server 7.
- In: Linux|php|programing
- Tags: Linux, php, programing, sun web server
Para los ultimos proyectos que he trabajado he venido usando Mercurial para el control de version (SCM) es muy versatil, ha sido portado a diferentes plataformas se ejecuta en Linux/Windows/FreeBSD/Solaris, esta hecho en python y es similar a Git ademas de ser utilizado por diferentes proyectos grandes como Netbeans y otros.
Este mini-howto esta basado en la documentacion encontrada en la wiki de Mercurial con algunas modificaciones para adaptarlo a la distro que uso(Fedora 10) y agregando el uso de pygments para el color de la sintaxis.
lo necesario para iniciar:
- Apache web server
- Mercurial 1.1
- Pygments
- Python 2.5
la version de mercurial que viene con Fedora 10 al momento de escribir esto era 1.0.2 por lo que tuve que descargar la nueva version e instalarla, si la nueva version ya se encuentra en los repositorio solo habra que instalar normalmente con yum.
wget http://www.selenic.com/mercurial/release/mercurial-1.1.1.tar.gz tar xzvf mercurial-1.1.1.tar.gz cd mercurial-1.1.1 # Editamos el archivo Makefile # cambiamos PREFIX=/usr/local a PREFIX=/usr # si python esta bien instalado y sus dependencias ejecutamos make all; make install; hg version # se mostrara algo similar a esto "Mercurial Distributed SCM (version 1.1+20081203)" # loggeado como usuario root yum install -y python-pygments httpd
Ahora que ya tenemos todo lo necesario configuraremos el cgi de Mercurial y los repositorios.
# siempre como root creamos los siguiente directorios mkdir -p /var/www/hg/repos
Creamos el archivo de configuracion “hgweb.config” en /var/www/hg/
[collections] repos/ = repos/ [web] style = gitweb
copiamos el cgi “hgwebdir.cgi” en /var/www/hg/ y le cambiamos los permisos
chmod a+x hgwebdir.cgi
ahora configuramos el cgi en Apache, creamos un archivo de configuracion “hg.conf” en /etc/httpd/conf.d
ScriptAliasMatch ^/hg(.*) /var/www/hg/hgwebdir.cgi$1 <Directory /var/www/hg> Options ExecCGI FollowSymLinks AllowOverride None </Directory>
Predeterminadamente el web server Apache que viene en Fedora incluira todas los archivos de configuraciones en /etc/httpd.conf.d/ con el sufijo “.conf”
comprobamos la configuracion con
# esto debera retornar un mensaje de 'Sintaxis is OK' /usr/sbin/httpd -t
Ahora queda configurar los repositorios, creamos un proyecto llamado “zf-test”
mkdir zf-test hg init hg add hg ci -m "repositorio inicializado" cd .. mv -r zf-test /var/www/hg/repos/
Una vez inicializado el repositorio y agregado los archivo lo movemos a al directorio de los repositorios y configuramos el repositorio del proyecto dentro del directorio .hg creamos un archivo llamado “hgrc”
[web] contact = JM description = Aplicacion de Prueba Zend Framework. style = gitweb allow_push = * allow_archive = zip gz bz2 push_ssl = false pygments_style = autumn [extensions] hgext.highlight =
La configuracion indica lo siguiente style es la plantilla que usar hgwebdir para mostrar el directorio del proyecto en el browser, “allow_push = *” permite hacer cambios a cualquiera, esto esta asi porque esta pensado para funcionar en una intranet o red privada, si se hiciera publico se podria implementar las extensiones de mercurial para ACL y autenticacion via http con apache ademas de usar SSL para las conexiones y restringir los usuario que pueden hacer “push” o escribir en el repositorio.
La opcion allow_archive permite bajar el repositorio del proyecto completo en un archivo comprimido en formato zip, bz2 o gzip, la opcion hgext.highlight activa el coloreado de sintaxis para los archivos y el diff utilizando pygments.
La libreria pygments cuenta con varios esquemas el usado aqui es “autumn” el usado por default por mercurial es “colorful”
El cgi hgwebdir puede usar otras plantillas que vienen con mercurial que son: gitweb, coal, monoblue, spartan y paper.
el paso mas importante para finalizar, para permitir la escritura y ejecucion del cgi el propietario de los repos y el cgi debe ser el usuario del web server Apache, en este caso es “apache”
cd /var/www chown apache:apache -R hg
He aqui algunos screenshots del hgwebdir usando la extension pygments corriendo en Apache.
mercurial-repositories-index
Sumario del repositorio del proyecto
Vista de archivos en el repositorio
Pygments en accion
pygments diff
Mercurial Visual Graph extension
Referencia:
PHP, tokens y Forms
20 Sep2008
Por lo general es una buena practica garantizar la integridad de los datos que se envia desde un formulario a un script en la web, para ello se pueden utilizar varias tecnicas como: solo buscar por datos esperados en los campos del formulario, usar un codigo captcha y en mi opinion una de las mejores tecnicas utilizar un token para validar la integridad de los datos.
para demostracion un pequeño codigo de ejemplo:
<?php // codigo en el encabezado del form $randomkey = "suP3rR4nDKeY"; $fixedkey = "123lsdlas345" $salt = time(); // correspondera a un id que se enviara en un campo oculto // token debera ir en un campo oculto del formulario. $token = sha1($randomkey . $fixedkey . $salt); ?> <input id="id" name="id" type="hidden" value="<?php echo $salt; ?>" /> <input id="token" name="token" type="hidden" value="<?php echo $token; ?>" />
Una vez generado el token este sera validado por el script que recibira la informacion del formulario verificado el token garantizara que los datos son validos y han sido enviados desde nuestro formulario.
Una vez validadas las entradas y teniendo los datos del id y el token se regenera el token para comprobarlo usando las 2 key que se usaron el formulario
// $id_form es el id obtenido del formulario
// $form_token es el token del formulario
$randomkey = "suP3rR4nDKeY";
$fixedkey = "123lsdlas345"
$check_token = sha1($randomkey . $fixedkey . $id_form);
if ($form_token == $check_token ) {
print "form data esta OK";
} else {
die("Token invalido");
}
asi con el uso del token se garantiza la integridad de los datos y su procedencia, si alguien quisiera atacar el form tendria que conocer las llaves y el timestamp que se genera al cargar el form, adicionalmente siempre es recomendable realizar una doble validacion una utilizando javascript y en caso de ser deshabilitado, contar con una validacion php o en el lenguaje que se utilice para procesar el formulario.