Что такое OWASP?

OWASP — это акроним, расшифровывающийся как Open Web Application Security Project.

OWASP — это некоммерческая организация, которая занимается исследованием и обеспечением безопасности веб-приложений. Она обладает обширным контентом, включающим методологии, инструменты, стандарты и руководства по обеспечению безопасности веб-приложений.

В рамках OWASP разработаны множество проектов, включающих в себя руководства по безопасности, топ-10 уязвимостей веб-приложений, инструменты для сканирования и тестирования безопасности, образцы кода и многое другое.

Знание OWASP и умение применять его рекомендации является важным для php-разработчика, так как помогает защитить веб-приложения от распространенных уязвимостей, таких как инъекции SQL, межсайтовый скриптинг (XSS), утечка конфиденциальной информации и другие.

Эффективный рендеринг изображений Base64 в PDF-файлах Laravel с помощью DomPDF

При создании PDF с помощью библиотеки DomPDF в Laravel часто возникают сложности с обработкой изображений. Основная проблема — высокое потребление памяти, особенно если PDF содержит множество изображений. Вот решение, которое позволяет эффективно встраивать изображения в PDF, минимизируя нагрузку на память.

Проблема
DomPDF требует, чтобы изображения были встроены в HTML в виде base64-строк. Однако загрузка нескольких изображений в память одновременно может быстро превысить лимит, установленный для PHP. Это особенно критично при генерации больших документов, таких как каталоги или отчёты.

Решение
Предложенный подход включает:

🔸Обработку изображений небольшими частями (чтобы избежать переполнения памяти).
🔸Гибкую обработку отсутствующих изображений.
🔸Поддержку как локальных, так и удалённых файлов.
🔸Преобразование изображений в формат base64, совместимый с DomPDF.

Основные элементы решения
1. Управление памятью
Перед началом обработки устанавливается разумный лимит памяти, например, 256 МБ. Это позволяет избежать чрезмерного использования ресурсов сервера, оставаясь в рамках допустимых ограничений.

2. Постепенная загрузка изображений
Вместо того чтобы загружать весь файл в память сразу, изображение читается по частям, например, блоками по 8 КБ. Такой подход предотвращает резкий рост потребления памяти, что особенно полезно для работы с большими изображениями.

3. Обработка отсутствующих изображений
Если файл изображения не найден, вместо ошибки возвращается base64-код прозрачного 1x1 пикселя. Это позволяет избежать сбоев в процессе генерации PDF.

Чтобы использовать литеральные символы внутри регекса, можно воспользоваться функцией preg_quote(): она добавляет обратную косую черту перед каждым специальным символом в строке. Не забудьте использовать второй аргумент, который может содержать любой произвольный разделитель.

Другой вариант — использовать внутри регекса символы \Q и \E: они превращают все специальные символы в буквенное значение.

🔥 Бесплатный курс по фулстек-разработке — реальность

Под Новый год Дед Мороз приносит подарки, а наши подписчики — собственные курсы! Сергей Дмитриев, который занимается коммерческой разработкой уже 15 лет, поделился с нами курсом по созданию веб-сервиса с нуля. В курс входит 141 урок, 28 часов видео, исходный код и чат поддержки для участников.

👉 Подробнее о курсе читайте на Хабре или в телеграм-канале Сергея

🔄 Как данные перемещаются по сети: шпаргалка по инкапсуляции и деинкапсуляции

👉 Источник

Первый #дайджест новостей по PHP в этом году:

🔎Обзор года Symfony 2024

🔎PHP 8.4.2 выпущен! — Команда разработчиков PHP объявляет о скорой доступности PHP 8.4.2. Это релиз, исправляющий ошибки. Всем пользователям PHP 8.4 рекомендуется обновиться до этой версии.

🔎Новая площадка Twig Playground — Новый инструмент, который позволяет вам тестировать и экспериментировать с шаблонами Twig в среде песочницы. Он полностью основан на веб-технологиях и не имеет бэкенда.

🔎Новые методы отношений Eloquent в Laravel 11.37 — На прошлой неделе команда Laravel выпустила версию 11.37, в которой появились новые методы Eloquent relation, опция игнорирования регистра в Str::is(), добавление признака Dumpable к экземпляру Uri и многое другое.

🔎Неделя Symfony #940 (30 декабря 2024 — 5 января 2025)

Laravel: Менее известные, но полезные команды Composer

Composer — это основной инструмент для управления зависимостями в PHP. Если вы работаете с Laravel, то наверняка уже знакомы с такими командами, как composer install и composer update. Однако у Composer есть менее известные, но очень полезные команды, которые могут значительно упростить вашу работу над проектом.

1. composer outdated
Эта команда показывает, какие зависимости вашего проекта устарели. Она выводит список всех пакетов, для которых доступны более новые версии, указывая текущую и последнюю версии. Это удобный способ следить за обновлениями и безопасностью проекта без необходимости сразу обновлять все пакеты.

2. composer show
С помощью этой команды можно получить подробную информацию обо всех установленных пакетах. Кроме того, если указать конкретное имя пакета, можно узнать его описание, текущую версию и зависимости. Например:

composer show backpack/crud

Эта команда полезна, когда нужно быстро проверить, какая версия пакета установлена и для чего он нужен.

3. composer why
Если вы хотите понять, почему определённый пакет установлен в проекте, используйте команду composer why. Она покажет, какие зависимости требуют установки данного пакета. Это особенно полезно для анализа сложной цепочки зависимостей.

4. composer licenses
Для проверки лицензий всех установленных зависимостей существует команда composer licenses. Она помогает убедиться, что все используемые пакеты соответствуют необходимым требованиям по лицензированию, что особенно важно при работе с открытым исходным кодом.

5. composer check-platform-reqs
При работе на разных платформах может возникнуть необходимость убедиться, что все необходимые расширения PHP установлены. Команда composer check-platform-reqs проверяет, соответствует ли ваша система требованиям, указанным в composer.json. Она также проверяет версию PHP и расширения.

👔💼 Как ответить на собеседовании, почему вы уволились с прошлого места работы: 9 вариантов ответа

А также примеры того, как говорить точно не надо 🌚

👉Читать

Плохие практики в PHP-бэкэнде: примеры и советы

Эта статья может быть полезна как и тем, кто не работает с PHP постоянно, а вынужден лишь иногда что‑то время от времени «фиксить», так и тем для кого PHP является «родным» языком. Здесь собраны некоторые антипаттерны или плохие практики из‑за которых плохой код и появляется. Возможно вы узнаете здесь свои приемы и подходы и пересмотрите их.

Serde

Serde — это быстрая, гибкая, мощная и простая в использовании библиотека сериализации и десериализации для PHP, которая поддерживает ряд стандартных форматов. Он черпает вдохновение как из крейта Serde от Rust, так и из Symfony Serializer, хотя напрямую не основан ни на одном из них.

В настоящее время Serde поддерживает сериализацию объектов PHP в массивы PHP, файлы JSON, YAML и CSV и обратно. Он также поддерживает сериализацию в JSON или CSV через поток. Планируется дальнейшая поддержка, но по задумке ее может расширить кто угодно.

Разработка расширения для PHP на C++. Хуки встроенных функций и методов

В этой статье показано, как создать расширение для PHP на C++ на примере разработки функциональности, позволяющей перехватывать вызовы встроенных функций и методов классов в php.

Здесь подробно рассмотрен процесс создания расширения для PHP на C++. Начиная с настройки среды разработки и создания проекта, до шагов по реализации хуков и выполнения callback-функций. Затронуты все основные ключевые моменты, от встраивания хуков во встроенные PHP-функции до подмены целевых функций и обработки аргументов, исключений и результатов.

Слабые пароли в Laravel: почему это опасно и как улучшить защиту

Безопасность — одна из ключевых задач в веб-разработке. Laravel предлагает мощные инструменты для создания защищённых приложений, но слабая политика паролей может свести эти меры на нет. Рассмотрим, чем опасны слабые пароли и как усилить их защиту.

Чем опасны слабые пароли

Слабые пароли могут стать причиной:

Атак перебором (Brute Force). Злоумышленники перебирают комбинации паролей до тех пор, пока не найдут верную.
Подбора учётных данных (Credential Stuffing). Используются пароли, ранее украденные с других сайтов.
Захвата аккаунтов (Account Takeover). Злоумышленники получают доступ к учётной записи из-за слабого или повторно использованного пароля.

Как реализовать политику сильных паролей в Laravel
Laravel предоставляет инструменты для обеспечения надёжной аутентификации. Вот несколько шагов, которые помогут усилить защиту.

1. Настройка правил валидации паролей
В Laravel можно задать строгие правила валидации паролей. Например, при регистрации пользователя можно требовать:

🔸Минимальную длину.
🔸Наличие заглавных и строчных букв.
🔸Наличие цифр и специальных символов.

Эти требования позволят пользователям создавать более надёжные пароли.

2. Хранение паролей в зашифрованном виде
Laravel использует bcrypt для хэширования паролей. Это гарантирует, что даже в случае утечки данные не будут скомпрометированы в открытом виде.

Перед сохранением пароля в базе данных обязательно хэшируйте его. Это базовая мера, которую нельзя игнорировать.

3. Принудительная смена пароля
В случае утечки данных или подозрений на компрометацию, можно заставить пользователей сменить свои пароли. Это позволит предотвратить дальнейший доступ злоумышленников к учётным записям.

Знаете ли вы, что Laravel позволяет запрашивать JSON-поля в базах данных, поддерживающих JSON-типы колонок? 🚀

🧑‍💻 Статьи для IT: как объяснять и распространять значимые идеи

Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.

Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.

Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.

👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.

PSR-1: Основные стандарты кодинга в PHP

Почему одни проекты на PHP легко поддерживать, а другие превращаются в путаницу? Во многом это зависит от соблюдения единых стандартов кодирования. PSR-1 — базовый стандарт, который помогает создавать понятный и структурированный код. Рассмотрим основные принципы и способы их применения.

Правила PSR-1
1. Файлы и пространства имён
🔸Использовать только теги «<?php» и «<?=».
🔸Код должен быть записан в UTF-8 без BOM.
🔸Файлы должны либо объявлять символы (классы, функции, константы), либо вызывать побочные эффекты (например, вывод на экран, изменение настроек). Делать и то, и другое в одном файле не рекомендуется.

2. Имена пространств и классов
Названия классов должны быть в стиле StudlyCaps (каждое слово с заглавной буквы, без разделителей).
Константы классов записываются прописными буквами с подчёркиваниями, например MAX_SIZE.

3. Методы классов
Имена методов записываются в стиле camelCase (первое слово с маленькой буквы, последующие — с заглавной).
Пример реализации
На картинке представлен корректный пример кода, соответствующий PSR-1:
Что здесь показано:

🔹Пространство имён оформлено в стиле StudlyCaps.
🔹Имя класса соответствует стандарту StudlyCaps.
🔹Константы записаны заглавными буквами с подчёркиваниями.
🔹Имя метода оформлено в стиле camelCase.

Интеграция PSR-1 с современными инструментами
Для проверки и автоматизации соблюдения стандартов используются такие инструменты:

PHP_CodeSniffer: проверяет код на соответствие PSR-1. Запуск проверки через composer check-style.

Автоматическое исправление стиля: возможно с помощью composer fix-style.

PHPUnit: тестирование кода для обеспечения качества реализации.

Автозагрузка по PSR-4: упрощает управление файлами и пространствами имён.

#хочу_спросить

Задавайте любые вопросы о программировании и получайте ответы от пользователей. В комментариях под постом укажите #язык, #стек и/или #библиотеку, по которым задаете вопрос.

Простое решение для параллельного выполнения PHP-кода.

Этот пакет предназначен для параллельного выполнения кода и создания пула процессов для выполнения различных задач (например, queue workers).

Какие есть типы индексов в бд?

Использование индексов в базах данных подразумевает их создание, просмотр и удаление для оптимизации запросов. Индексы ускоряют операции чтения (SELECT), но могут замедлить операции записи (INSERT, UPDATE, DELETE).

Общий синтаксис создания индекса выглядит следующим образом:

CREATE INDEX имя_индексаON имя_таблицы (столбец1 [ASC|DESC], столбец2 [ASC|DESC]);

Вот основные типы индексов:

1. Кластерные индексы (Clustered Index)
🔸 Упорядочивают данные в таблице в соответствии с индексом.
🔸 Каждая таблица может иметь только один кластерный индекс, так как физический порядок строк определяется им.
🔸 Пример: Первичный ключ часто создается как кластерный индекс.

Преимущества:

🔹 Быстрый доступ к данным в диапазонных запросах.
🔹 Эффективно при выборке упорядоченных данных.

Недостатки:

🔹 Медленные операции вставки, обновления и удаления, так как данные переносятся для сохранения порядка.

2. Некластерные индексы (Non-Clustered Index)
🔸 Содержат указатели на фактические строки данных.
🔸 Таблица может иметь несколько некластерных индексов.
🔸 Пример: Индексация столбца, который часто используется в условиях WHERE.

Преимущества:

🔹 Быстрый доступ к конкретным значениям.
🔹 Может использоваться для оптимизации запросов с различными столбцами.

Недостатки:

🔹 Дополнительное использование дискового пространства.
🔹 Замедление операций вставки, обновления и удаления.

3. Уникальные индексы (Unique Index)
🔸 Обеспечивают уникальность значений в одном или нескольких столбцах.
🔸 Пример: Индекс на email-адрес в таблице пользователей.

Преимущества:

🔹 Поддерживает целостность данных.
🔹 Повышает производительность запросов.

Недостатки:

🔹 Невозможно хранить дублирующиеся значения.

4. Составные индексы (Composite Index)
🔸 Создаются на основе нескольких столбцов.
🔸 Пример: Индекс на столбцы (lastname, firstname).

Преимущества:

🔹 Улучшает производительность запросов, где используются все или часть индекса.

Недостатки:

🔹 Требует внимательного проектирования, чтобы учитывать порядок столбцов.

5. Полнотекстовые индексы (Full-Text Index)
🔸 Используются для поиска текстовых данных, таких как документы или длинные текстовые поля.
🔸 Пример: Полнотекстовый поиск по колонке description в таблице товаров.

Преимущества:

🔹 Оптимизирован для поиска ключевых слов или фраз.

Недостатки:

🔹 Поддерживается не всеми СУБД.
🔹 Может занимать значительное место.

6. Битмап-индексы (Bitmap Index)
🔸 Представляют данные в виде битовых карт.
🔸 Чаще всего используются в столбцах с низкой кардинальностью (небольшим количеством уникальных значений).

Преимущества:

🔹 Эффективны для аналитических запросов и запросов с большими объемами данных.

Недостатки:

🔹 Не подходят для таблиц с частыми изменениями данных.

7. XML/JSON Индексы
🔸 Оптимизируют поиск в данных, хранящихся в XML или JSON-форматах.

Преимущества:

🔹 Ускоряют сложные запросы по вложенным структурам.

Недостатки:

🔹 Занимают дополнительное пространство.
🔹 Ограниченная поддержка в некоторых СУБД.

8. Пространственные индексы (Spatial Index)
🔸 Используются для работы с географическими и пространственными данными.
🔸 Пример: Индексация координат в базе данных геоинформационных систем.

Преимущества:

🔹 Эффективны для запросов, связанных с расстояниями, полигонами и геометрией.

9. Хэш-индексы (Hash Index)
🔸 Используют хэш-функции для индексирования данных.
🔸 Пример: Подходит для равенства (например, WHERE column = value).

Преимущества:

🔹 Очень быстрые запросы на точное совпадение.

Недостатки:

🔹 Не поддерживают диапазонные запросы.