State sviluppando un’applicazione con VUE.JS e l’applicazione ha anche un backend API scritto in PHP.

Avviamo l’applicazione in modalità di debug con:

npm run dev

e solitamente questo attiva un servizio web sulla porta 5173 che possiamo aprire nel browser. Ma per le API PHP che ho in locale? Devo avviare un server web? devo scrivere un altro comando?

La soluzione più semplice è usare il pacchetto npm concurrently da installare con:

npm install --save-dev concurrently

poi modificare il file package.json da qualcosa tipo:

"scripts": {
"dev": "vite",
"build": "run-p type-check \"build-only {@}\" --",

in:

"scripts": {
"dev": "vite",
"dev:php": "php -S127.0.0.1:8765 -t ./",
"dev:all": "concurrently --kill-others \"npm run dev\" \"npm run dev:php\"",
"build": "run-p type-check \"build-only {@}\" --",

ora potremo avviare entrambe i servizi con:

npm run dev:all

ma nessun ci vieta di inserire nel package.json la riga che vedete in dev:all direttamente in dev e quindi lasnciare il classico npm run dev per avviarli entrambe.

Nota:

Ora ci sarà una nuova esigenza da gestire, ovvero come dire all’applicazione di usare due url differenti come base per il puntamento verso il corretto endpoint in modalità sviluppo o produzione.

La soluzione è quella di creare due file di environment, uno chiamato .env.development in cui inseriamo:

NODE_ENV=dev 
VITE_API_BASE_URL=http://127.0.0.1:8765/api/

l’altro chiamato .env.production in cui inseriamo:

NODE_ENV=production 
VITE_API_BASE_URL=/api/

ed infine inseriamo nel file main.ts, prima di fare il createApp() , questo codice:

export const API_BASE_URL = import.meta.env.VITE_API_BASE_URL as string
if (!API_BASE_URL) {
  throw new Error('VITE_API_BASE_URL is not defined')
}

cosa che renderà disponibile nell’app la costante API_BASE_URL da poter utilizzare come prefisso per le nostre chiamate API.

Chiaramente il tutto potete personalizzarlo secondo le vostre esigenze, questo è solo da prendere come spunto.

enjoy!

Dopo alcune ricerche è emerso che dalla versione 2.4.59, per gli script CGI-like (come PHP) non possono più restituire l’header Content-Length per motivi di sicurezza (rif CVE-2024-24795).

Per ambienti sicuri è possibile ripristinare il precedente funzionamento tramite una nuova direttiva di apache chiamata ap_trust_cgilike_cl.

Per impostarla, creiamo un file chiamato /etc/apache2/conf-available/fix-cgi.conf con all’interno:

SetEnv ap_trust_cgilike_cl 1

e poi abilitiamolo con:

a2enconf fix-cgi
systemctl reload apache2

enjoy!

Header always edit Set-Cookie "(?i)^((?:(?!;\s?HttpOnly).)+)$" "$1; HttpOnly"

che comporta l’errore 419 al login su un’applicazione Laravel.

Attenzione

L’attributo HttpOnly serve a impedire l’accesso ai cookie tramite JavaScript, riducendo il rischio di attacchi Cross-Site Scripting (XSS).

Sebbene mitigare gli XSS sia possibile attraverso la sanificazione degli input utente e la rimozione dei tag <script>, anche un piccolo errore può avere conseguenze disastrose. Inoltre, l’utilizzo di script di terze parti potrebbe compromettere la sicurezza degli utenti. Ogni anno si verificano attacchi XSS di successo che dimostrano l’importanza di adottare misure adeguate.

Ad esempio, se una pagina web utilizza un cookie di sessione e presenta un campo di input vulnerabile a XSS, un attaccante potrebbe facilmente iniettare uno script che invia una richiesta HTTP a un URL simile al seguente:

enjoy!

      DirectoryIndex index.html
      ErrorDocument 404 /index.html
      RewriteEngine On
      RewriteBase /
      RewriteRule ^index\.html$ - [L]
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteRule . /index.html [L,R=301]

enjoy!

Creiamo il file /etc/systemd/system/laravel-queue.service in cui scriviamo:

[Unit]
Description=Laravel Queue Worker
After=network-online.target, mysql.service

[Service]
User=XXXXXXX
Group=XXXXXXX
Type = simple
Restart=always
RestartSec=5s
RestartPreventExitStatus = 255
WorkingDirectory=/var/www/XXXXXXX
ExecStart=/usr/bin/php artisan queue:work
#StandardOutput=append:{log_file} 
#StandardError=inherit
#EnvironmentFile=/etc/environment

[Install]
WantedBy=multi-user.target

dove inserite i parametri corretti al posto di XXXXXXX. Successivamente:

systemctl daemon-reload
systemctl enable doxcloud-laravel-queue.service
systemctl start doxcloud-laravel-queue.service
systemctl status doxcloud-laravel-queue.service

enjoy!

In questo caso, bisogna rimuovere i riferimenti nel repository oltre che inserire l’esclusione nel file .gitignore. Ipotizziamo di voler escludere il file pippo.txt, dovremo scrivere

pippo.txt

nel file .gitignore e poi rimuoverlo con:

git rm -r --cached pippo.txt

per verificare che sia tutto a posto, possiamo eseguire un:

git status

e poi procedere alla sincronizzazione con un:

git add .
git commit -m "rimozione pippo.txt"
git push

enjoy!

Questa vulnerabilità colpisce PHP quando iconv viene utilizzato per tradurre le codifiche delle richieste da/verso i set di caratteri interessati e ha il potenziale per essere di ampia portata.

Sulle recenti distribuzioni Debian, la libreria glibc è stata aggiornata, qualora non sia possibile procedere all’aggiornamento o la versione non prevedesse ancora l’aggiornamento, si può mitigare questo problema disabilitando i set di caratteri interessati in gconv.

Per controllare la versione di glibc si può usare:

ldd –version

Per verificare se la vulnerabilità è presente:

iconv -l | grep -E 'CN-?EXT'

se vengono mostrate delle righe tipo:

ISO-2022-CN-EXT//
ISO2022CNEXT//

significa che la vulerabilità è presente.

Questo per il fix:

sed -i '/CN-EXT/d' /usr/lib/x86_64-linux-gnu/gconv/gconv-modules
iconvconfig

Infine controllare nuovamente:

iconv -l | grep -E 'CN-?EXT'

e non dovrebbero essere più mostrati risultati.

enjoy!

Per aggiungere anche l’estensione xdebug bisogna usare pecl perché non è presente direttamente nel repository di brew.

Per installare PHP ed xdebug possiamo fare come segue:

brew install php
mkdir /opt/homebrew/lib/php/pecl
pecl install xdebug

enjoy!

Su Debian è possibile abilitare/disabilitare/rendere di default una lingua tramite dpkg-reconfigure:

dpkg-reconfigure locales

Tramite l’interfaccia curses mostrata, sarà possibile abilitare/disabilitare le lingue da usare e poi definire quella di default.

Solitamente per la ligua italiana si sceglie it_IT.UTF-8.

Dopo aver fatto questo, sarà possibile inserire all’inizio del nostro script PHP la riga:

setlocale(LC_TIME, 'it_IT.utf8');

e poi stampare le date in italiano, es:

echo strftime("%a %d %b %Y");

enjoy!

per PHP Sury:

wget -qO- https://packages.sury.org/php/apt.gpg | gpg --dearmor > /etc/apt/trusted.gpg.d/sury-php-x.x.gpg

per MySQL:

wget -O- http://repo.mysql.com/RPM-GPG-KEY-mysql-2023 | gpg --dearmor > /etc/apt/trusted.gpg.d/mysql.gpg

per Docker:

curl -fsSL https://download.docker.com/linux/debian/gpg | gpg --dearmor -o /etc/apt/trusted.gpg.d/docker.gpg

per Node:

curl -fsSL https://deb.nodesource.com/gpgkey/nodesource-repo.gpg.key | gpg --dearmor -o /etc/apt/trusted.gpg.d/nodesource.gpg

Nota: per vedere il contenuto di un file di firma (es /etc/apt/trusted.gpg.d/nodesource.gpg):

gpg --no-default-keyring --list-keys --keyring /etc/apt/trusted.gpg.d/nodesource.gpg

Installate le firme, si può procedere con l’aggiunta dei repository come segue:

echo "deb https://packages.sury.org/php/ $(lsb_release -sc) main" | tee /etc/apt/sources.list.d/php.list

e

wget https://dev.mysql.com/get/mysql-apt-config_0.8.29-1_all.deb
dpkg -i mysql-apt-config_0.8.29-1_all.deb

e

echo "deb https://download.docker.com/linux/debian $(lsb_release -sc) stable" | tee /etc/apt/sources.list.d/docker.list

e

echo "deb https://deb.nodesource.com/node_20.x $(lsb_release -sc) main" | tee /etc/apt/sources.list.d/nodesource.list

enjoy!