Zend Framework по-русски

Автор: Rob Allen, www.akrabat.com
Также доступна устаревшая версия руководства, ориентированная на старые версии Zend Framework.

Это руководство предназначено для введения в использование Zend Framework для создания простых приложений с использованием БД с использованием парадигмы Model-View-Controller. Оно было переписано для версии фреймворка 1.8 и использует все преимущества скриптов командной строки Zend_Tool и Zend_Application для бутстраппинга. Используются другие компоненты, включая Zend_Controller, Zend_View, Zend_Db_Table и Zend_Form.
Continue reading ‘Начало работы с Zend Framework’ »

11 января вышли новые версии сразу трёх веток Zend Framework: 1.9.7, 1.8.5 и 1.7.9.
Эти релизы содержат более 40 багфиксов и включают в себя уведомление о новой политике безопасности Zend Framework.
На протяжении декабря Padraic Brady проводил аудит безопасности фреймворка и работал совместно с разработчиками ZF над устранением проблем.
Устранены следующие уязвимости:

Потенциальная инъекция MIME-type в Zend_File_Transfer

В случае, если не установлено расширение ext/finfo и недоступна функция mime_content_type() использовался MIME-type, хранящийся в массиве $_FILES. Это небезопасно, т.к. злоумышленник может подделать значение. Теперь в случае, если не удаётся корректно определить MIME-type, передаётся значение “application/octet”

Потенциальная XSS/HTML инъекция в Zend_Json

Zend_Json_Encode не экранировал символ слэша (“/”), что противоречит спецификации JSON и открывает возможность для инъекции XSS или HTML. В новых версиях проблема устранена, символ экранируется.

Потенциальная XSS-уязвимость в компоненте Zend_Service_ReCaptcha_MailHide

Zend_Service_ReCaptcha_MailHide не проделывал валидацию переданного e-mail’а, а при вызове htmletities() не указывалась текущая кодировка, злоумыленник мог передать специально сформированную строку.

Потенциальная XSS-уязвимость в Zend_Dojo_View_Helper_Editor

Zend_Dojo_View_Helper_Editor использовал TEXTAREA вместо DIV’а. Команда разработчиков Dojo сообщила, что тектовый редактор на базе TEXTAREA не обеспечивает должный уровень безопасности.

Потенциальный XSS из-за несовместимости кодировок

Множество классов ZF, в том числе Zend_Form, Zend_Filter, Zend_Form, Zend_Log и Zend_View, вызывали htmlentities() и htmlspecialchars() с неуказанными или жёстко прописанными кодировками. При использовании нетипичных кодировок (например, UTF-7) кодировка может определиться некорректно и открыть возможность злоумышленнику передать XSS-эксплойт. Рекомендуется в каждом из этих компонентов задавать кодировку явно, не надеясь на автоопределение.

Рекомендуется обновить свои приложения для устранения вышеперечисленных проблем.

О не связанных с безопасностью изменениях вы можете узнать по ссылкам:
http://framework.zend.com/changelog/1.9.7
http://framework.zend.com/changelog/1.8.5
http://framework.zend.com/changelog/1.7.9

Это последний запланированный релиз ветки 1.9. До конца этого месяца планируется выпустить версию 1.10.0

Подробнее о релизе:
В Zend DevZone от Matthew Weier O’Phinney
На blog.astrumfutura.com от Padraic Brady

Как известно, по умолчанию Zend_Form генерирует форму в виде списка определений. При этом многих не устраивает внешний вид списка – более привычным является оформление формы в таблицу. Можно решить эту проблему с помощью декораторов, но это решение является не самым лучшим.
В блоге Robert Basic опубликовано руководство под названием Styling the default Zend_Form layout, в котором рассказано, как с помощью CSS изменить внешний вид формы, чтобы она выглядела, как таблица. Именно так должна решаться проблема с внешним видом форм, а разметка форм должна оставаться списком определений (dl).

Zend_Captcha – компонент Zend Framework, позволяющий быстро и удобно использовать CAPTCHA.
Если вы используете Zend_Form, то вам понадобится статья Zend_Captcha example, автор Robert Basic.
В случае, если вы хотите использовать Zend_Captcha без связки с Zend_Form, вам будет полезна статья Using Zend_Captcha_Image, опубликованная в блоге Sankho Malik

Интересный скринкаст, в котором рассказывается про создание формы с использованием JS-фреймворка Dojo.
Разработка происходит в Zend Studio for Eclipse, что только добавляет интереса к видео.
Интеграция ZF и Dojo

Rob Allen недавно опубликовал заметку File uploads with Zend_Form_Element_File. Олег Лобач перевёл её на русский язык и опубликовал у себя в блоге: Загрузка файлов с Zend_Form_Element_File.
Ничего особенного, однако для быстрого старта ознакомиться полезно.

Автор: Rob Allen, www.akrabat.com
Это устаревшая версия руководства. Последняя версия доступна по ссылке.

Это руководство содержит минимум знаний для применения Zend Framework в написании приложений начального уровня с использованием баз данных.
Continue reading ‘Начало работы с Zend Framework’ »

Zend_Form:
Часть 1 – Основы
Часть 2 – Работа с декораторами

В этой статье мы рассмотрим использование декораторов компонента Zend_Form. В официальном руководстве они описаны довольно сложно для понимания, к тому же нужная секция не переведена на русский язык.
Continue reading ‘Декораторы Zend_Form’ »

Для валидации URL существует валидатор Zend_Validate_Hostname. Однако для большинства случаев он слишком мощный и выдаёт слишком детальные сообщения об ошибках, непонятные обычным пользователям.
На сайте LAMPComputing появилось руководство по написанию собственного валидатора для проверки URL-адресов. Предлагается следующий валидатор:

Как видите, ничего лишнего. Минимум необходимого функционала.

Интегрируется валидатор с Zend_Form стандартными средствами:

Полный вариант статьи про валидацию URI при помощи Zend_Framework

В настоящее время статья полезна исключительно для ознакомления. В Zend Framework был добавлен компонент Zend_Captcha, который, в том числе, может работать и с сервисом reCAPTCHA.

Всем привет.
Думаю, многие знают проект reCAPTCHA. Суть этого проекта в том, что за счёт капчи пользователи помогают оцифровывать книжные архивы.
Сейчас мы будем интегрировать reCAPTCHA в Zend Framework, и, в частности, в Zend_Form.
Continue reading ‘Zend_Form и reCAPTCHA’ »