Pagina 2 di 4
Maurizio Fonte - Consulente Informatico - Ingegnere del Software e Cyber Security Specialist Freelance
Dopo la compromissione di un'applicazione Laravel, il cliente voleva sapere come erano entrati e cosa avevano preso. Ho ricostruito la kill chain completa dai log di Nginx, PHP, MySQL e dal filesystem: webshell caricata tramite IDOR + unrestricted upload, backdoor persistente in un file di configurazione. Vi mostro il metodo. Continua a leggere
Un LLM in produzione che restituisce testo libero è una bomba a orologeria: prima o poi hallucinerà un valore fuori range e romperà la pipeline a valle. La difesa strutturale è lo structured output con JSON Schema validato rigorosamente, più fail-safe multi-livello per le risposte malformate. Ti mostro i pattern che uso in PHP: prompt con schema esplicito, parsing difensivo, retry con correzione automatica, fallback a pipeline deterministica. Con codice reale Laravel e Symfony. Continua a leggere
Alle 2 di notte, un cliente mi chiama: il suo VPS ha comportamenti anomali. Nei successivi 30 minuti, ho fatto un elenco di azioni in ordine preciso. Quell'ordine è importante: sbagliarlo significa perdere prove forensi o dare tempo all'attaccante. Vi scrivo il runbook che tengo sempre pronto. Continua a leggere
Inertia.js è la soluzione che avrei voluto cinque anni fa: single-page app experience senza costruire un'API REST separata, autenticazione server-side, accesso diretto agli ORM. Ho migrato un gestionale da jQuery a Vue 3 + Inertia + Laravel senza toccare un byte del backend. Il risultato è sorprendente. Continua a leggere
Claude Code fuori dalla scatola è potente, ma nei workflow aziendali complessi serve l'integrazione con database interni, API di gestionali proprietari, automazioni custom. Gli MCP server sono la risposta: un protocollo aperto per esporre tool strutturati agli agent LLM. Ti mostro l'architettura di un MCP server in PHP che ho costruito per interrogare database aziendali in sicurezza, con schema, validation e logging. Continua a leggere
La documentazione API scritta a mano diverge dall'implementazione in settimane. Ho adottato un approccio code-first: annotation PHP sugli endpoint, generazione automatica dello spec OpenAPI in CI, validazione delle request/response contro lo spec nei test. Gli integratori hanno sempre documentazione fedele alla realtà. Continua a leggere
JWT e OAuth sono standard semplici nella teoria, catastrofici nell'implementazione. Nella mia pipeline personale di audit ho costruito un classificatore LLM che analizza l'autenticazione di un progetto PHP e segnala vulnerabilità ricorrenti: algorithm confusion, refresh token deboli, storage insicuro, revocation mancante. Ti mostro il prompt engineering e il catalogo dei pattern pericolosi raccolti nella mia sandbox di audit sistematico. Continua a leggere
Un batch notturno di fatturazione che falliva silenziosamente una volta ogni tre giorni senza che nessuno lo scoprisse fino ai reclami dei clienti. Ho ristrutturato il sistema con Laravel Horizon, code prioritarie, dead letter queue e alert Slack automatici per ogni job fallito. Zero incidenti silenziosi da sei mesi. Continua a leggere
La dependency injection è il pattern che più di ogni altro determina la testabilità del codice PHP. Vi mostro i pattern avanzati che uso in progetti complessi: constructor promotion di PHP 8, binding a interfaccia, lazy proxy per servizi costosi e come scrivere test che non dipendono dall'implementazione concreta. Continua a leggere
Per un'applicazione di gestione pratiche per uno studio legale, il sistema di autorizzazione doveva essere granulare a livello di documento, non solo di ruolo. Ho implementato Symfony Voter con regole basate su ownership, stato del documento e relazioni tra entità. Vi mostro l'architettura e il codice reale. Continua a leggere
