Formación corporativa en PHP

PHP es un lenguaje de programación muy utilizado en el desarrollo web. Entender su sintaxis resulta vital para crear aplicaciones dinámicas y para avanzar a niveles más complejos en el futuro. Esta guía se enfoca en los aspectos principales de la sintaxis de PHP, sin abarcar la Programación Orientada a Objetos ni el manejo de formularios.

Variables y tipos de datos

En PHP, las variables se declaran anteponiendo el símbolo $ al nombre. Los tipos de datos más habituales incluyen enteros, flotantes, cadenas y booleanos.

<?php
$nombre = "Andrea";
$edad = 25;
$precio = 19.99;
$activo = true;
?>

• Enteros: para números sin decimales.
• Flotantes: para números con decimales.
• Cadenas: texto encerrado entre comillas.
• Booleanos: true o false.

Las variables se crean de forma dinámica, y su tipo se determina automáticamente según el valor asignado.

Operadores básicos

Existen operadores aritméticos, lógicos y de comparación que ayudan a manipular los datos:

• Aritméticos: +, -, *, /, % (módulo).
• Comparación: ==, ===, !=, !==, >, <, >=, <=.
• Lógicos: && (AND), || (OR), ! (NOT).

Un ejemplo de operadores aritméticos y de comparación sería:

<?php
$a = 10;
$b = 5;

$resultadoSuma = $a + $b; // 15
$comparacion = ($a > $b); // true
?>

Estructuras condicionales

Para tomar decisiones, el lenguaje ofrece sentencias condicionales como if, elseif y else. Se evalúa una condición y, según el resultado (true o false), se ejecuta un bloque de código:

<?php
$edad = 20;

if ($edad >= 18) {
    echo "Es mayor de edad";
} else {
    echo "Es menor de edad";
}
?>

En casos más complejos, se utiliza elseif para verificar múltiples condiciones. Otra forma de simplificar la lógica condicional es emplear switch, que compara un valor frente a varios casos posibles:

<?php
$dato = 2;

switch ($dato) {
    case 1:
        echo "El valor es 1";
        break;
    case 2:
        echo "El valor es 2";
        break;
    default:
        echo "Valor desconocido";
}
?>

La Programación Orientada a Objetos (POO) en PHP permite diseñar código con una estructura modular, basada en clases y objetos que agrupan lógica y datos de forma coherente. Este enfoque facilita la escalabilidad de proyectos y potencia la reutilización de funcionalidades.

Clases y objetos

En PHP, una clase describe las características y comportamientos de un tipo de objeto. Cada vez que se crea una instancia de esa clase, se obtiene un objeto que hereda todas las propiedades y métodos definidos.

<?php
class Coche {
    public $marca;
    public $modelo;

    public function arrancar() {
        echo "El coche está en marcha.";
    }
}

$miCoche = new Coche();
$miCoche->marca = "Toyota";
$miCoche->modelo = "Corolla";
$miCoche->arrancar();
?>

En este ejemplo, la clase Coche tiene dos atributos (marca y modelo) y un método (arrancar). Con la palabra reservada new creas un objeto a partir de esa clase.

Encapsulación

La encapsulación consiste en proteger los atributos y métodos internos de una clase, de forma que solo puedan modificarse a través de métodos específicos (getters y setters). Esto se controla mediante modificadores de acceso: public, protected y private.

<?php
class Usuario {
    private $nombre;

    public function setNombre($nombre) {
        $this->nombre = $nombre;
    }

    public function getNombre() {
        return $this->nombre;
    }
}

$usuario = new Usuario();
$usuario->setNombre("Lucía");
echo $usuario->getNombre(); // "Lucía"
?>

Al utilizar private, se restringe el acceso directo a la propiedad $nombre, garantizando la integridad de los datos.

Herencia

La herencia permite que una clase hija extienda las propiedades y métodos de otra clase (padre). De este modo, se promueve la reutilización de código y se evita duplicar lógica:

<?php
class Animal {
    public function hacerSonido() {
        echo "Sonido genérico de animal.";
    }
}

class Perro extends Animal {
    public function hacerSonido() {
        echo "¡Guau, guau!";
    }
}

$miPerro = new Perro();
$miPerro->hacerSonido(); // "¡Guau, guau!"
?>

La clase Perro hereda de Animal pero redefine el método hacerSonido para adaptarlo a su caso particular, ejemplificando el uso de polimorfismo.

Los formularios son la puerta de entrada de datos en la mayoría de sitios y aplicaciones web. En PHP, su procesamiento es fundamental para interactuar con los usuarios, ya sea para registrarlos, almacenar información o realizar búsquedas. Conocer la forma correcta de gestionar formularios marca la diferencia en términos de seguridad y rendimiento.

Estructura básica de un formulario HTML

Antes de manejar datos en PHP, se crea un formulario mediante etiquetas HTML. Para procesar la información, se define el método POST o GET y la página de destino a la que se envían los datos:

<form action="procesar_formulario.php" method="POST">
  <label for="nombre">Nombre:</label>
  <input type="text" id="nombre" name="nombre" required>
  
  <label for="correo">Correo electrónico:</label>
  <input type="email" id="correo" name="correo" required>
  
  <button type="submit">Enviar</button>
</form>

• action: URL del archivo que gestionará los datos (puede ser el mismo archivo o uno distinto).
• method: Específica el método de envío. POST envía los datos de forma no visible en la URL, mientras GET los expone como parámetros en la barra de direcciones.

Recepción de datos en PHP

Una vez enviado el formulario, el archivo apuntado por action puede acceder a los datos. En el caso de usar el método POST, se emplea la variable superglobal $_POST. Por ejemplo:

<?php
if ($_SERVER["REQUEST_METHOD"] === "POST") {
    $nombre = $_POST["nombre"];
    $correo = $_POST["correo"];
    
    echo "Nombre recibido: " . $nombre . "<br>";
    echo "Correo recibido: " . $correo;
}
?>

Si el formulario empleara GET, se utilizaría $_GET["nombre"] o $_GET["correo"] en lugar de $_POST.

Validación y filtrado de datos

Para garantizar la seguridad y la integridad de la información, es fundamental validar y filtrar los datos recibidos:

• Filtrar cadenas: Eliminar o transformar caracteres que puedan usarse para inyectar código.
• Comprobar formatos: Verificar que los campos tengan el tipo de dato adecuado (por ejemplo, direcciones de correo o números).
• Evitar ataques XSS: Usar funciones como htmlspecialchars() cuando se muestra texto proveniente de usuarios.

Un ejemplo sencillo de validación de un campo de correo podría ser:

<?php
if (filter_var($correo, FILTER_VALIDATE_EMAIL)) {
    echo "Correo válido.";
} else {
    echo "Correo no válido.";
}
?>

En el desarrollo de aplicaciones web, la persistencia de datos se refiere a la capacidad de almacenar información de forma permanente. En el caso de PHP, MySQL suele ser la base de datos predilecta, gracias a su eficiencia y su amplia adopción. Conectar PHP a MySQL abre la puerta a la creación de sitios dinámicos, donde los datos se guardan y se recuperan según sea necesario, haciendo que la aplicación sea mucho más versátil.

Métodos de conexión a MySQL

Para aprender PHP en temas de persistencia, es importante conocer los dos enfoques principales para conectar con MySQL:

1. MySQLi (MySQL Improved): Extensión específica para MySQL que ofrece una interfaz mejorada respecto a la antigua librería de MySQL.
2. PDO (PHP Data Objects): Abstracción que permite conectarse a múltiples bases de datos, incluyendo MySQL, usando una sintaxis unificada.

Conexión con MySQLi

<?php
$servidor = "localhost";
$usuario = "root";
$password = "";
$baseDatos = "mi_base";

// Crear conexión
$conexion = mysqli_connect($servidor, $usuario, $password, $baseDatos);

// Verificar conexión
if (!$conexion) {
    die("Error de conexión: " . mysqli_connect_error());
}
echo "Conexión exitosa con MySQLi";
?>

Conexión con PDO

<?php
$dsn = "mysql:host=localhost;dbname=mi_base;charset=utf8";
$usuario = "root";
$password = "";

try {
    $conexion = new PDO($dsn, $usuario, $password);
    $conexion->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
    echo "Conexión exitosa con PDO";
} catch (PDOException $e) {
    echo "Error de conexión: " . $e->getMessage();
}
?>

Ambas opciones son válidas, aunque PDO destaca por ser más flexible para proyectos que requieran compatibilidad con otras bases de datos.

Consultas básicas

Una vez establecida la persistencia con la base de datos, se utilizan sentencias SQL para insertar, actualizar, eliminar y consultar datos.

INSERT

<?php
$nombre = "Ana";
$edad = 28;

$sql = "INSERT INTO usuarios (nombre, edad) VALUES ('$nombre', $edad)";
if (mysqli_query($conexion, $sql)) {
    echo "Registro insertado correctamente.";
} else {
    echo "Error al insertar: " . mysqli_error($conexion);
}
?>

O, en PDO, usando consultas preparadas para mayor seguridad:

<?php
$stmt = $conexion->prepare("INSERT INTO usuarios (nombre, edad) VALUES (:nombre, :edad)");
$stmt->bindParam(':nombre', $nombre);
$stmt->bindParam(':edad', $edad);
$stmt->execute();
echo "Registro insertado correctamente.";
?>

SELECT

<?php
$sql = "SELECT * FROM usuarios";
$resultado = mysqli_query($conexion, $sql);

while ($fila = mysqli_fetch_assoc($resultado)) {
    echo "ID: " . $fila["id"] . " - Nombre: " . $fila["nombre"] . "<br>";
}
?>

En PDO, se haría con:

<?php
$sql = "SELECT * FROM usuarios";
$stmt = $conexion->query($sql);

while ($fila = $stmt->fetch(PDO::FETCH_ASSOC)) {
    echo "ID: " . $fila["id"] . " - Nombre: " . $fila["nombre"] . "<br>";
}
?>

Buenas prácticas de persistencia

1. Sanitizar datos: Utiliza sentencias preparadas para prevenir inyecciones SQL y otros ataques.
2. Control de errores: Asegúrate de capturar y registrar los errores de la base de datos para facilitar el mantenimiento.
3. Transacciones: Al realizar varias operaciones que deben completarse todas o ninguna, emplea transacciones para asegurar la consistencia de los datos.
4. Manejo de conexiones: Libera los recursos al terminar tus consultas o cuando la conexión deje de ser necesaria.

Las sesiones y las cookies son mecanismos esenciales para retener información entre diferentes peticiones en aplicaciones web. En PHP, ambos se usan para personalizar la experiencia del usuario y preservar datos, como credenciales de inicio de sesión o configuraciones específicas, a lo largo de la navegación.

Sesiones en PHP

Las sesiones son archivos de servidor en los que se almacena información vinculada a un cliente concreto. Cada sesión está identificada por un ID único que se asocia con el cliente mediante una cookie.

Creación y configuración de sesiones

Antes de acceder o modificar datos de sesión, se llama a la función session_start():

<?php
session_start(); // Inicia o reanuda la sesión
$_SESSION["usuario"] = "Carlos";
$_SESSION["rol"] = "Administrador";

echo "Sesión creada para el usuario: " . $_SESSION["usuario"];
?>

• session_start() debe ser la primera instrucción del script, sin que exista salida previa en el navegador.
• La variable superglobal $_SESSIÓN permite almacenar información que persiste mientras dure la sesión.

Recuperación y eliminación de datos de sesión

Para obtener datos almacenados, se recurre a $_SESSIÓN en cualquier archivo que haya invocado session_start():

<?php
session_start();
if (isset($_SESSION["usuario"])) {
    echo "Bienvenido, " . $_SESSION["usuario"];
} else {
    echo "Sesión no iniciada.";
}
?>

Para eliminar variables de sesión concretas, se puede usar unset():

<?php
unset($_SESSION["rol"]); // Elimina la variable 'rol' de la sesión
?>

Si se desea finalizar por completo la sesión, se llaman las siguientes funciones:

<?php
session_start();
session_unset(); // Limpia todas las variables de sesión
session_destroy(); // Destruye la sesión
?>

Uso de cookies en PHP

Las cookies se guardan en el navegador del usuario y permiten recordar preferencias u otra información específica. A diferencia de las sesiones, estos datos se mantienen en el cliente y tienen una fecha de caducidad.

Creación de cookies

Para crear una cookie, PHP ofrece la función setcookie():

<?php
$nombreCookie = "preferencias";
$valorCookie = "tema=oscuro";
$tiempoExpiracion = time() + (60 * 60 * 24); // 1 día

setcookie($nombreCookie, $valorCookie, $tiempoExpiracion, "/");
echo "Cookie 'preferencias' creada.";
?>

• El primer parámetro es el nombre de la cookie.
• El segundo es el valor.
• El tercero define la expiración, en este caso, 24 horas desde el momento actual.
• El último argumento indica la ruta en la que la cookie será válida ("/" para todo el sitio).

Lectura de cookies

Las cookies se acceden mediante la variable superglobal $_COOKIE:

<?php
if (isset($_COOKIE["preferencias"])) {
    echo "Tus preferencias: " . $_COOKIE["preferencias"];
} else {
    echo "No se han definido preferencias.";
}
?>

Eliminación de cookies

Para eliminar una cookie, se le asigna una fecha de caducidad pasada:

<?php
setcookie("preferencias", "", time() - 3600, "/");
echo "Cookie 'preferencias' eliminada.";
?>

Consideraciones de seguridad

• HTTPS: Emplear protocolos seguros (HTTPS) evita la captura de cookies y los ataques de tipo sniffing.
• HttpOnly: Al establecer una cookie, usar la bandera HttpOnly para impedir que sea accesible desde scripts del lado del cliente y así disminuir el riesgo de ataques XSS.
• Regenerar ID de sesión: Tras iniciar sesión, es aconsejable renovar el ID de la sesión con session_regenerate_id(true) para mitigar ataques de fijación de sesión.
• Validar datos: Verificar la validez de la información en la sesión o las cookies antes de utilizarla en cualquier proceso sensible (como transacciones).

La seguridad es un factor esencial en el desarrollo de aplicaciones web con PHP. Un descuido puede exponer datos confidenciales o permitir accesos no autorizados, comprometiendo la integridad del proyecto y la confianza de los usuarios. Dominar los fundamentos de la seguridad no solo protege la información, sino que también fortalece la reputación y la continuidad de tu aplicación.

Validación y sanitización de entradas

Todo dato que provenga de un usuario (formularios, variables de URL o archivos) debe considerarse no fiable. Para prevenir posibles ataques, se recomienda:

1. Validar el tipo, el formato y la longitud de los campos (por ejemplo, direcciones de correo o números de teléfono).
2. Sanitizar cadenas eliminando o transformando caracteres peligrosos:

   $variableSegura = htmlspecialchars($variableInsegura, ENT_QUOTES, 'UTF-8');
   

3. Emplear funciones de PHP como filter_var() o ctype_* para comprobar patrones comunes (URLs, correos, números enteros, etc.).

Prevención de inyección SQL

El ataque de inyección SQL ocurre cuando un usuario malintencionado puede inyectar sentencias SQL a través de entradas. Para evitarlo:

• Utiliza sentencias preparadas en PDO o MySQLi, enlazando los parámetros de forma segura:

  $stmt = $pdo->prepare("SELECT * FROM usuarios WHERE id = :id");
  $stmt->bindParam(':id', $id, PDO::PARAM_INT);
  $stmt->execute();
  

• Nunca concatenes directamente variables recibidas con la sentencia SQL.
• Limita los privilegios de la cuenta de acceso a la base de datos (no es recomendable usar cuentas con permisos de administrador para operaciones básicas).

Protección frente a XSS (Cross-Site Scripting)

El XSS consiste en inyectar código JavaScript en tu sitio. Para neutralizarlo, se aconseja:

• Escapar todos los datos antes de mostrarlos en la página:

  echo htmlspecialchars($datoDelUsuario, ENT_QUOTES, 'UTF-8');
  

• Utilizar las cabeceras de seguridad (por ejemplo, Content-Security-Policy) que restringen la ejecución de scripts no autorizados.
• Validar las entradas para que no incluyan etiquetas <script> o caracteres especiales sin ser filtrados.

El testing en PHP consiste en verificar el comportamiento de los componentes de tu aplicación, asegurándote de que funcionen según lo previsto. Es vital para detectar errores de manera temprana, reducir los costos de mantenimiento y elevar la confiabilidad global del proyecto. Al aprender testing en PHP, estableces la base para desarrollar y desplegar aplicaciones más seguras y estables.

Tipos de pruebas

En el ecosistema de PHP, es habitual emplear diferentes tipos de pruebas para abarcar todos los niveles de la aplicación:

1. Pruebas unitarias: Validan funciones o clases individuales en un entorno aislado.
2. Pruebas de integración: Comprueban la interacción entre diferentes componentes, como la conexión a base de datos.
3. Pruebas funcionales: Evalúan la aplicación desde la perspectiva del usuario, simulando acciones a través de la interfaz.

Dominar cada tipo de prueba aporta mayor confianza en el resultado final y minimiza sorpresas durante el ciclo de vida del desarrollo.

Herramientas populares de testing

Para aprender testing en PHP, conviene familiarizarse con los principales frameworks:

• PHPUnit: La biblioteca más usada en el entorno PHP para pruebas unitarias. Dispone de un amplio conjunto de utilidades para aislar funciones y aserciones personalizadas.
• Pest: Ofrece una sintaxis más ligera y expresiva, ideal para los que deseen una curva de aprendizaje suave.
• Codeception: Incluye pruebas unitarias, funcionales y de aceptación en una misma plataforma, facilitando la cobertura completa del proyecto.

Estas herramientas se integran fácilmente con soluciones de integración continua, como GitHub Actions, para automatizar la ejecución de pruebas tras cada cambio en el repositorio.

Ejemplo de prueba unitaria con PHPUnit

Un ejemplo sencillo de test con PHPUnit para una función que suma dos números podría verse así:

<?php
use PHPUnit\Framework\TestCase;

class CalculadoraTest extends TestCase
{
    public function testSuma()
    {
        $resultado = sumar(2, 3);
        $this->assertEquals(5, $resultado);
    }
}

Al ejecutar el comando phpunit, se validará si la función sumar(2, 3) devuelve el resultado esperado de 5. Si la prueba pasa, sabrás que este fragmento de código se comporta de manera correcta.