Pagina 5 di 8
PHP non è morto, non è legacy, non è solo "lo usano ancora per WordPress". Oggi PHP 8.4 è un linguaggio moderno, tipizzato, veloce, con un ecosistema ingegneristicamente maturo. Lo uso da vent'anni, ho attraversato ogni major release dal 4.x all'8.x, e oggi lo scelgo consapevolmente ogni volta che un cliente ha bisogno di un backend affidabile.
In questa categoria trovi articoli su PHP moderno: nuove feature linguistiche, OPcache, attributes, enums, fibers, typed properties, e come portare una base PHP 5.x o 7.x verso PHP 8.x senza rompere nulla. Scrivo dall'esperienza di chi manutiene codebase di produzione, non dal punto di vista dello sviluppatore che ha letto la documentazione.
Se hai un progetto PHP da modernizzare, un'applicazione lenta da ottimizzare, o semplicemente vuoi confrontarti con un consulente senior che lavora su PHP da più tempo di molti framework attuali, parliamone. Puoi anche scoprire il mio percorso professionale.
Il linguaggio non è il problema. Il problema è sempre come lo usi, in che contesto, e se chi lo scrive sa davvero cosa sta facendo.
Quando mi consegnano un progetto PHP legacy senza documentazione, la prima settimana è sempre la stessa: leggere codice, mappare dipendenze, identificare i punti critici. Ho automatizzato questa fase con un agente Claude che processa il codice in chunk, costruisce una mappa delle dipendenze e produce un report strutturato. Continua a leggere
Dopo 18 mesi di utilizzo quotidiano di LLM per lavoro tecnico, ho catalogato i pattern di prompting che producono output consistenti per task specifici: refactoring di classi PHP, generazione di test, analisi di log e scrittura di query complesse. Vi condivido il mio prompt library con esempi concreti. Continua a leggere
Un cliente con 120.000 righe di codice PHP senza un byte di documentazione. Ho costruito una pipeline con Claude API che estrae contesto da ogni file, genera documentazione in italiano calibrata per il team non-tecnico, e la pubblica su Confluence automaticamente a ogni deploy. Costo operativo: 2€/mese. Continua a leggere
Uso Claude Code quotidianamente da sei mesi su basi di codice PHP legacy. Non come sostituto del ragionamento - come amplificatore. Vi racconto il mio flusso reale: quali task delego completamente, quali richiedono supervisione stretta, dove l'AI sbaglia sistematicamente e come ho costruito i guardrail nel mio workflow. Continua a leggere
Ho analizzato 200 snippet PHP generati da Copilot e ChatGPT nel contesto di progetti clienti: il 23% conteneva vulnerabilità, di cui il 8% classificabili come high severity. I pattern sono prevedibili: prepared statements dimenticati, input validation assente, errori gestiti con die(). Ecco come fare audit sistematico. Continua a leggere
Dopo aver introdotto PHPStan a livello 9 su un progetto Laravel legacy con 80.000 righe di codice, ho trovato 340 errori di tipo - di cui 12 erano vulnerabilità di sicurezza reali, tra cui due SQL injection potenziali e una IDOR. L'analisi statica non sostituisce il pen test, ma lo rende più efficiente. Continua a leggere
Lo XSS stored che ho trovato in un CMS proprietario di un cliente media non era ovvio: si attivava solo in un campo amministrativo raramente utilizzato. Il payload sopravviveva a tre livelli di sanitizzazione perché ognuno usava una libreria diversa. Vi mostro la catena di bypass e come costruire una CSP che regge. Continua a leggere
Ho trovato una SQL injection in un gestionale di ordini PHP usato da un'azienda con 80 dipendenti. Il codice era del 2019, aggiornato più volte, ma la query vulnerabile era sopravvissuta a tutti i refactoring. Vi spiego perché SQLi è ancora viva, quali pattern la nascondono e come fare code review mirata. Continua a leggere
La versione 2025 dell'OWASP Top 10 introduce cambiamenti significativi rispetto al 2021, in particolare sull'insecure design e sulla sicurezza del codice generato da AI. Ho analizzato 12 applicazioni PHP di clienti PMI contro il nuovo framework: i risultati mostrano pattern di vulnerabilità diversi rispetto a cinque anni fa. Continua a leggere
Le credenziali del database di un cliente erano hardcoded nel file .env committato su un repo privato - privato, ma con accesso a 8 collaboratori. Quando uno di loro ha lasciato l'azienda, abbiamo scoperto che non esisteva un modo rapido per ruotare tutte le credenziali. HashiCorp Vault ha risolto il problema strutturalmente. Continua a leggere
