Все слышали про принципы DRY, KISS, YAGNI...

А как насчёт правила еловой табуретки или правила лестнечных пролётов?

Я уже представил, как на следующем code review напишу: "в этом фрагменте кода стоит применить правило несъедобного исключения" 😀

Один из ключевых разработчиков nginx, не согласный с политикой нынешних владельцев (компания F5), заявил, что больше не будет контрибьютить в nginx и запустил свой форк FreeNginx: http://freenginx.org/hg/nginx

История обычная.

Что меня удивило: репозиторий под управлением Mercurial! Я, конечно, тоже считаю что Mercurial в своё время был круче git, но уже 2024 год, как привлекать комьюнити к работе с open source на Mercurial?

Zero config, zero overhead, новый фреймворк (пока суровая alfa стадия): Tempest

https://github.com/tempestphp/tempest-framework

Серия видео по Tempest: https://youtube.com/playlist?list=PL0bgkxUS9EaILnUL8Q4np6B3qxjQbE7PH&si=xTVS0pMLPy7WqHCe

Тестирования функций из стандартной библиотеки PHP и не только

#пост №7

Цель

Подмена (mock) функций, которые уже “загружены” в PHP еще до подгрузки Composer Autoloader, каких-либо include или других объвлений function name(){}

Подмена не только из под не пустого namespace, например App\Service\name , но и из корневого namespace: проще всего это сделать через use function name;

Проблема

Если объявить функцию с именем, которая уже существует в стандартной библиотеке PHP, то получим ошибку, что такая функция уже существует и переопределить её нельзя.

Можно было бы “выгрузить” её из памяти, но увы, выгружать из памяти функции в PHP нельзя.

Можно лишь переопределить функцию до её непосредственного объявления. Но такой способ не подходит, потому что функция уже объявлена при любом вызове php .

Ресерч

В php.ini можно найти флаг disable_functions , которая принимает список имен функций, которые нужно “не объявлять” в недрах PHP.

Если использовать этот флаг, то php -ddisable_functions=time -r "echo time();" выкинет ошибку:

❯ php -ddisable_functions=time -r "echo time();"
PHP Fatal error:  Uncaught Error: Call to undefined function time() in Command line code:1
Stack trace:
#0 {main}
  thrown in Command line code on line 1

Fatal error: Uncaught Error: Call to undefined function time() in Command line code on line 1

Error: Call to undefined function time() in Command line code on line 1

Call Stack:
    0.0000     389568   1. {main}() Command line code:0

Это и логично. Функции time больше нет. Но теперь ведь можно создать её самостоятельно?

Если объявить функцию самостоятельно, то ошибки больше не будет:

❯ php -ddisable_functions=time -r "function time() { return 123; } echo time();"
123%

Бинго!

Помещаем объявление функции в библиотеку, создаем State manager, через которого сможем управлять возвращаемым значение “123” и делаем пользователю интерфейс взаимодействия с этим менеджером.

Теперь, если пользователь захочет протестировать вызов time , то сможем самостоятельно указать требуемые значения. Время в будущем, в прошлом, 0, false, что угодно.

Но как быть, если нужно протестировать измененную функцию time лишь в одном тесте, а в других местах оставить всё как есть?

Можно так и сделать: State manager создает для всех тестов функцию, которая эмулирует стандартную time , а в нужном тесте наложить на общую эмуляцию частную.

Вроде всё логично и понятно. Можно накодить и наслаждаться тестированием.

Однако, а как эмулировать системное время? Если с различными полифилами от symfony всё понятно: можно создать какую-то функцию, которая будет базировать на другой функции, преобразовывать результат под новый формат и отдавать его.

Но на какой функции нужно базировать время?

DateTime`* классы? `date() ? mktime ? hrtime ? А если их тоже отключить нужно?

Bash! 🤪

PHP имеет возможность в любое время обратиться к своему старшему брату-башу простыми обратными кавычками: `command` . Результат будет строкой, но всегда можно "кастануть".

Для аналога time() команда `date +%s` .

Значит для State manager осталось написать только возможность использовать не статичное значение, а функцию, которая каждый раз будет выполняться.

Всё это и не только сделано в библиотеке xepozz/internal-mocker

Читаем доку по установке и первичной настройке, добавляем нужные файлы, вписываем следующую конфигурацию:

$mocker = new Mocker();
$mocker->load([
    [
        'namespace' => '',
        'name' => 'time',
        'function' => fn () => `date +%s`,
    ],
]);
MockerState::saveState();

——

Если кто-то писал свои костыли или специально убирал use function из файлов, чтобы подменять функции в нужном namespace, теперь можете избавиться от них и заменить это на подключение библиотеки и небольшой конфиг.

——

Описание disable-functions: https://www.php.net/manual/en/ini.core.php#ini.disable-functions

Internal mocker: https://github.com/xepozz/internal-mocker/

Недавно я занялся настройкой новой операционной системы macOS, начиная с нуля. В этот раз решил опробовать развёртывание PHP-разработки с использованием Laravel Herd (https://herd.laravel.com) — приложения, включающего в себя готовые бинарные файлы PHP, nginx и DNSMasq.

Установка прошла гладко, согласно инструкции, и с первой попытки заработало всё, включая Xdebug.

Однако, изучение документации выявило, что в основе Laravel Herd лежат разработки Laravel Valet, что вызвало у меня смешанные чувства. Несколько лет назад я уже сталкивался с Laravel Valet и тогда его баги заставили меня отказаться от использования, оставив после себя негативные впечатления.

В целом, философия Laravel Valet, как и всего Laravel, заключается в том, что множество "магии" скрыто от разработчика, который не должен вникать в детали работы системы — она просто работает. Этот подход имеет свои преимущества.

Однако, то, что мне категорически не нравится в Laravel Valet, так это то, что вся гибкость настройки конфигурации nginx перекладывается с файла конфигурации nginx на так называемые Valet Drivers, написанные на PHP. На первый взгляд, работа с Drivers может показаться проще, чем настройка nginx, но это кажется неестественным и оторванным от реальных условий производственной среды, где, в конечном итоге, всё равно приходится работать с конфигурацией nginx.

Для тех, кто не знаком с Laravel Valet, вот интересный и, возможно, шокирующий факт: все запросы обрабатываются через некий файл server.php, который, благодаря системе Drivers, заменяет собой роутинг на уровне nginx. Это означает, что вместо использования директив location в конфигурации nginx, мы имеем набор условий if в PHP-коде.

Более того, через инфраструктуру Valet проходят даже HTTP-запросы на получение статических файлов. Например, когда браузер запрашивает my-site.test/logo.png, запрос проходит через множество PHP-кода внутри Laravel Valet. Файл определяется с помощью file_exists(), и контент logo.png в итоге отдаётся через PHP-FPM, что кажется довольно необычным решением. 🙈

Опублликован видео-плейлист прошедшей конференции Laracon EU 2024, видео продолжают добавляться каждый день: https://youtube.com/playlist?list=PLMdXHJK-lGoBx3Nq2jHgrU7DGsJNi1nwi&si=1TUwqXqg01wFBr_h

Актуально сегодня

Блоггер заморочился и снял на slow motion задержку при рендере букв в редакторе Zed против VSCode

Убийца PHP вышел в публичную бету: https://1cmycloud.com/welcome/

В продолжение к предыдущему посту я изучил баг-трекер Idea, нашел несколько просьб отключения этой кнопки с аналогичными аргументами, ставим лайки:

https://youtrack.jetbrains.com/issue/IDEA-260517/Add-option-to-remove-Expand-all-from-Project-Tool-Winow-Bar

https://youtrack.jetbrains.com/issue/IDEA-322819/Expand-All-button-in-Project-tool-window-is-broken-and-it-would-be-better-to-make-it-a-context-aware-button

https://youtrack.jetbrains.com/issue/IDEA-286610/Hide-Expand-All-button#focus=Comments-27-5811125.0-0

https://youtrack.jetbrains.com/issue/IDEA-320855/Can-the-expand-all-button-be-removed

Инсайты из мира Laravel

Тейлор сменил тип компании с Laravel LLC (Общество с ограниченной ответственностью) на свежезарегистрированную Laravel Holdings, Inc (Корпорация). Занятно, что создана она не Арканзасе, родном штате Отвела, а в Делавэре.

Либо собирается скупать другие компании, либо привлекать капиталы. Плюс с сайта был убран список сотрудников, возможно, в связи с тем, что планируется резко увеличить их число. Разрабы трудятся — лавэха мутится.

«Своя игра» по PHP на канале CutCode

Вы можете задать сейчас вопросы участникам викторины.

Самые интересные вопросы будут разобраны на игре, а их авторы получат возможность поучаствовать в следующей игре и получить мерч!

🕛 13 марта в 19:00 (мск)

🔹 Александр Макаров
🔹 Кирилл Несмеянов
🔹 Адель Файзрахманов

🎬 https://www.youtube.com/watch?v=WNIAO0kEk7U

Плотность релизов Filament хороша! Активно пилят: https://github.com/filamentphp/filament/releases

(tldr: это админка на Laravel Livewire)

Распределённый p2p аналог GitHub: https://radicle.xyz/

Зачем нужно много ядер CPU? Чтобы эффективно проверять проект с PHPStan!

Плейлист с PHPRussia 2022: https://youtube.com/playlist?list=PLsdzlHt60Mu2Fcx_P7abk4WhmsxCTeQ31&si=_6VqP2_ZbpzJ3V0z

В мире компьютерной безопасности сегодня интересный день. Точнее, он начался вчера вечером, когда немецкий разработчик Андрес Фройнд опубликовал отчет о тайной лазейке (бэкдор), которую он обнаружил в новых версиях широко используемой библиотеки для сжатия liblzma (часть архиватора xz). Лазейка позволяет взломщикам заходить через SSH на системы, в которых установлены эти новые версии - к счастью, похоже, что это всего несколько дистрибутивов Линукса в их до-релизовых версиях.

Всех очень впечатлило, насколько эта лазейка была сделана хитро, и как взломщик или взломщики серьезно поработали над тем, чтобы замести следы:

- взломщик под именем/псевдонимом Jia Tan почти два года (!) участвовал в разработке опенсорсного пакета xz, завоевал доверие его мейнтейнеров и получил доступ к прямому коммиту в его репозиторию. Он сделал больше 700 коммитов, лишь малая часть которых медленно подготовила код для лазейки

- основной код лазейки спрятан в тестовых файлах проекта (примеры "плохих" и "хороших" архивов)

- исходный код, который включает лазейку в собственно библиотеку, вообще не является частью основной репозитории в Github. Он спрятан в тар-архивах двух последних релизов, которые обычно используются мейнтейнерами дистрибутивов. То есть есть таг релиза, есть архив, якобы собранный из репозитории в момент этого тага, но на самом деле в нем есть крохотная добавка; в самой репозитории ее нет

- эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь

- она проверяет, когда исходники конфигурируют именно для постройки дебиан-пакета или RPM-пакета (т.е. то, что будут делать мейтейнеры дистрибутивов), и только в этом случае вынимает из тестовых файлов определенные куски и добавляет в код библиотеки

- внутри библиотеки код лазейки заменяет несколько функций, которые работают с символьными таблицами библиотек во время их подгружения. Затрачены специальные усилия, чтобы имена функций не появлялись в двоичном коде. Что именно дальше делает код лазейки, до конца еще не ясно, но он обрабатывает сам символьные таблицы библиотек, и видимо находит то, что имеет отношение к SSH серверу, и что-то там заменяет. Это еще проверяют сейчас.

- интересно, что openssh, стандартный SSH-сервер под линуксом, не использует библиотеку liblzma, в которую вставили эту лазейку, но несколько популярных дистрибутивов добавляют в него поддержку уведомлений системы, systemd, а библиотека libsystemd уже в свою очередь использует liblzma.

- после того, как вышли версии библиотеки с ошибкой, несколько разных людей с незамеченными до того именами (очевидно, альты взломщика или сообщники) стали открывать запросы в разных программах и пакетах сделать апгрейд на эти новые версии, и в некоторых случаях преуспели

Взломщик допустил только одну ошибку: код лазейки, когда он работает как часть openssh, довольно медленно обрабатывает эти символьные таблицы, или что он еще там делает, и даже неудачная попытка логина на такую систему занимает на полсекунды дольше, чем обычно. Андрес Фройнд заметил эти полсекунды задержки. Они его раздражали. Он решил найти, какой новый баг к этому приводит, и нашел эту лазейку.

Если бы все происходило быстро и не было задержки в полсекунды, очень может быть, что это не заметили бы месяцы и годы, и этот код попал бы в основные дистрибутивы, в версии Линукса, которые запускаются у основных облачных провайдеров итд. Они реально очень, ОЧЕНЬ хорошо замели следы.

Теперь все думают, что надо было/надо теперь делать по-другому, и как обнаружить следующую лазейку такого типа - или предыдущую, если она уже есть и никто не знает! - не опираясь на удачу и героическую занудливость Андреаса Фройнда.

Пишу код, указал строковый ключ в массиве, Copilot привычно для меня автодополнил значением после => (в данном случае верно угадал значение по окружающему контексту).

Но я заметил кое-что необычное, Copilot написал для меня комментарий в конце строки.

В комментарии написано: опечатка в 'default - пригляделся, и правда, я опечатался!

Такого поведения я ещё не видел, интересно.

Статья с обзором расширений для Raycast (macOS) на тему PHP и Laravel: https://aleksandertabor.com/blog/best-raycast-extensions-for-laravel-php-developers

В основном эти расширения дают быструю навигацию по документации.