Joomla.it Forum
Non solo Joomla... => Sviluppo => : giovi 26 Jan 2012, 00:26:51
-
Ciao ragazzi, sono in procinto di rilasciare un semplice plugin che (attualmente fa solo questo) include jquery all'interno di un sito joomla. In quanto a programmazione ad oggetti sono ferrato almeno sulle basi ma del framework in se so veramente poco (lo ammetto!) per cui vi chiedo di dare un'occhiata a questa classe per potermi segnalare eventuali falle o problemi di sicurezza prima ancora che a pubblichi in area download.
questo il codice dell'unica pagina php:
<?php
defined('_JEXEC') or die;
jimport('joomla.plugin.plugin');
class plgSystemSimplejquery extends JPlugin{
function onBeforeCompileHead(){
$document = &JFactory::getDocument();
$document->addScript( 'plugins/system/simplejquery/js/jquery.min.js' );
if ($this->params->get('no-conflict')==1) {
$document->addScript( 'plugins/system/simplejquery/js/jquery.no-conflict.js' );
}
return true;
}
}
Qualche dubbio lo ho già da ora: ad esempio la pagina deve terminare con il tag di chiusura php "?>" o va bene anche così?
Il metodo onBefore.... deve essere dichiarato come privato o va bene così? Se devo dichiararlo privato dovrei chiamarlo da qualche parte (es. nel costrutture) o funzionerebbe comunque perchè - che so - joomla lo richiama già da qualche altra parte magari come funzione virtuale?
-
non vedo problemi nel tuo codice se il plugin di jquery che userai non ne avrà
i problemi di sicurezza di js sono abbastanza limitati e anche quasi sempre "propedeutici" ad altro.
Nel tuo script non vedo passaggi di variabili inseribili da utenti usi variabili ricavate da metodi già con una logica di filtraggio.
Quando js invece diventa Ajax allora qualche problemuccio in più sussiste.
Per controllare queste cose suggerisco l'uso di Burpsuite (vers. free) che permette di manipolare tramite proxi le richieste http che solitamente sfuggono alla normale navigazione. (se nn ricordo male a tale proposito devo aver scritto qualcosa anche in qs sezione