Checklist di revisione del codice AI-generated: pattern anti-OWASP in PHP
Il codice generato da AI sembra pulito ma nasconde classi di vulnerabilità ricorrenti che il contesto non riesce a catturare: SQL injection con parametri concatenati, XSS in output non sanitizzati, API key committate, pattern anti-OWASP. Nella mia sandbox di audit su codice AI-generated ho analizzato 40 output di ChatGPT, Copilot e Claude: ecco il catalogo dei pattern pericolosi e la checklist che applico sistematicamente prima di mergiare qualsiasi codice AI-generated. Continua a leggere
Ultima modifica:
Un'API pubblica Laravel per la verifica dei codici fiscali veniva martellata da scraper: 4.000 richieste al minuto da IP singoli. Il throttle di default di Laravel non bastava. Ho implementato un sistema multi-livello: rate limit per IP, per chiave API, per endpoint e un adaptive rate limiter che scala in base al carico. 
Il 70% dei sistemi PHP che ho auditato usava openssl_encrypt con parametri sbagliati o mcrypt deprecato. Libsodium è disponibile di default da PHP 7.2 e offre primitive crittografiche moderne e difficili da usare male. Vi mostro i pattern corretti per cifrare dati a riposo in un'applicazione gestionale Laravel. 
Claude Code non è un autocompletamento migliorato, è un agente che esegue comandi sul tuo filesystem. Usarlo in produzione senza un'impostazione ingegneristica rigorosa significa creare debito tecnico invisibile. Ti racconto come l'ho configurato nella mia pipeline: hook di validazione pre-bash, rules per delimitare il perimetro operativo, integrazione con Git e con strumenti di analisi statica PHP. 
In un assessment su un portale Symfony per la gestione documentale di un'azienda legale, ho trovato upload senza validazione del MIME reale: bastava rinominare un PHP in .pdf per caricarlo ed eseguirlo. Vi mostro la catena di validazione completa che uso in produzione, dal content-type all'isolamento dello storage. 
Le N+1 query Eloquent sono il killer silenzioso dei gestionali Laravel: invisibili al code review umano, devastanti sotto carico. Nella mia pipeline personale ho costruito un detector basato su LLM che correla analisi statica del codice con pattern nei query log di produzione: identifica le N+1 reali (non i falsi positivi che PHPStan fa scattare), le prioritizza per impatto misurato sul carico DB, e apre pull request mirate con la correzione. Il metodo che uso su codebase legacy di 10+ anni. 
SELinux è potente ma la curva di apprendimento è ripida per un team senza specialisti. AppArmor su Debian/Ubuntu offre il 90% del beneficio con il 20% della complessità. Ho configurato profili AppArmor per PHP-FPM, Nginx e MySQL su un VPS cliente: in due ore, l'esecuzione di processi PHP è confinata a livello kernel. 
Le best practice SSH standard (porta non-22, root disabilitato, chiavi invece di password) le applica ormai quasi tutti. Ma i tentativi di accesso continuano. Vi mostro le misure avanzate che aggiungo su VPS esposti: certificati SSH con CA interna, 2FA TOTP, AllowedUsers restrittivo e alert real-time. 
Nel 2026 l'AI non è più una sperimentazione ma uno strumento di produzione. Nella mia pipeline personale di automazione AI, dopo 18 mesi di sperimentazione continua, ho filtrato cosa funziona davvero dalla retorica del marketing: quali casi d'uso producono ROI misurabile, quali costi reali mese per mese, dove l'integrazione fallisce e perché. Non un manifesto, un bilancio ingegneristico. 
Il 60% degli incidenti di sicurezza che gestisco derivano da software non aggiornato. Ho implementato un sistema di aggiornamento automatico dei container Docker con Watchtower configurato in modalità monitor, validazione tramite test di smoke test prima del deploy e rollback automatico in caso di health check fallito.