Últimamente, he estado poniéndome al día en todo lo que se refiere a la seguridad a la hora de programar una aplicación web. Temas como el session fixation, SQL injection, etc…
En programania, Luis Artola ha publicado el enlace a una presentación de Stefan Esser acerca de la seguridad en Zend Framework que corresponde a la presentación que ofreció en la Dutch PHP Conference el pasado mes de Junio.
Muy interesante para todos los que andamos tocando Zend Framework, pues se tratan temas importantes como son:
- XSS
- CSRF
- Seguridad en consultas SQL
- Validación y filtrado de las entradas
- Manejo de las sesiones
No entra en profundidad en ningún tema (al menos en las diapositivas), pero puede ser un buen punto de partida.
Descargar presentación: Secure Programming With The Zend Framework [PDF]
Vía | programania.net
Para desarrollar una aplicación basada en los servicios que ofrece Twitter en su API utilizando Zend Framework, podemos utilizar la librería que incluye el framework por defecto, Zend_Service_Twitter.
Sin embargo, utilizar este método nos obliga a solicitar el nombre de usuario y la contraseña a todos aquellos que quieran acceder al servicio. Esta práctica, aparte de estar desaconsejada como se indica en la documentación del API, en un futuro cercano estará obsoleta, y no se permitirá el acceso al API utilizandola.
Para compensarlo, los chicos de Twitter han adoptado OAuth, un estándar abierto que permite la identificación del usuario sin que el servicio externo maneje contraseñas ni otra información sensible requerida para la identificación.
En Zend Framework disponemos desde hace varios meses de Zend_Oauth, un proyecto de Pádraic Brady, que se encuentra todavía en la incubadora, y teóricamente no debería de tardar mucho en dar el salto a la versión final del framework.
[Más]