PHP – Blog do Duda

30 ago

Woocommerce – Verificando a assinatura no Webhook

Nos últimos tempos, tenho trabalhado bastante com PHP e em alguns projetos escolhi usar o WordPress, que já uso aqui no blog, estou habituado e é relativamente fácil conseguir material sobre ele na internet.

Desses projetos, um deles é uma loja virtual, e comecei a conhecer e utilizar o famoso plugin do WooCommerce, que transforma seu WordPress em uma loja virtual totalmente funcional.

Nesse projeto, surgiu a necessidade de quando ocorrer determinados eventos na loja, como a criação do pedido, comunicar o evento para um outro sistema. Foi aí que descobri a existência dos Webhooks do WooCommerce.

O que é Webhook

Segundo a Wikipedia, Webhooks são callbacks HTTP definidos pelo utilizador, e isso realmente resume muito bem.

Quem está acostumado já em trabalhar com eventos no Javascript por exemplo, entenderá fácil. No WooCommerce, algumas ações como criar ou atualizar um produto e criar um pedido, geram eventos. Nesses eventos, o motor do WooCommerce pode chamar páginas na Web passando algum conteúdo, semelhante no jQuery que quando algo acontece em determinado seletor você chama uma função definida por você. Assim, basta criar uma página que receberá este conteúdo e processar de alguma maneira.

Porém, como toda página, ela é aberta publicamente, e alguém com a URL pode tentar enviar dados falsos para ele, por exemplo para dar um desconto de 99% no próprio pedido. Para evitar isso, um dos cabeçalhos enviados para a página contém uma assinatura, que deve ser verificada para confirmar a identidade de quem enviou aquele conteúdo. E é para isso que estamos aqui!

Na rede, não consegui encontrar nenhum exemplo prático em PHP, além da documentação atual nessa parte não ajudar muito, e tive um pouco de dificuldade em entender como isso poderia ser feito, então vou compartilhar com vocês o meu método, que é extremamente simples e fácil.

Verificando o X-WC-Webhook-Signature

O cabeçalho que contém a assinatura se chama X-WC-Webhook-Signature. Para calcularmos o nosso valor para comparar com ele, vamos precisar dos dados do conteúdo e do valor do campo “Segredo” quando cadastramos o Webhook, em Woocommerce > Configurações > API dentro do painel do WordPress.

Webhook do WooCommerce

Com esse valor e o conteúdo, precisamos utilizar a função do PHP hash_hmac e codificar o retorno para base64. Para isso, criei esta função abaixo que faz tudo isso já:

// função para checar se a assinatura bate, retorna true se bate, false se não.

function checkSignature($webhook_signature, $webhook_key, $content) {

return strcmp($webhook_signature, base64_encode(hash_hmac('sha256', $content, $webhook_key, true))) === 0;

}

Bem simples e direta, apenas uma linha pra fazer tudo que precisamos. Com isso, já sabemos se podemos confiar no conteúdo enviado ou não.

Abaixo, um exemplo bem simples de script, que apenas escreve as informações recebidas e a checagem de assinatura em arquivo:

<?php

// dados enviados pelo woocommerce

$input = file_get_contents('php://input');

// conversão da string em formato json para array associativo

$inputJson = json_decode($input,true);

// assinatura no header

$allHeaders = getallheaders();

$signature = $allHeaders['X-WC-Webhook-Signature'];

// chave secreta, também escolhida no cadastro do webhook do woocommerce

define ('SHARED_SECRET', 'teste edu');

// arquivo para escrever saída de teste

$fp = fopen('out.teste.txt', 'w');

if ($fp !== false) {

// todos os headers

$str = 'headers: ' . var_export($allHeaders, true) . PHP_EOL;

// assinatura

$str .= 'X-WC-Webhook-Signature: ' . $allHeaders['X-WC-Webhook-Signature'] . PHP_EOL;

// gera assinatura usando o conteúdo e a chave secreta

$hashHmac = base64_encode(hash_hmac('sha256', $input, SHARED_SECRET, true));

$str .= 'hashHmac: ' . $hashHmac . PHP_EOL;

// checa assinatura usando a função definida ali embaixo

$check = checkSignature($allHeaders['X-WC-Webhook-Signature'], SHARED_SECRET, $input);

// resultado da checagem

$str .= 'assinatura ok? ' . var_export($check, true) . PHP_EOL;

// conteúdo no formato de array associativo, por exemplo $inputJson['product']['title']

$str .= 'json: ' . var_export($inputJson, true) . PHP_EOL;

// escreve o texto no arquivo

fwrite($fp, $str);

// fecha arquivo

fclose($fp);

}

// função para checar se a assinatura bate, retorna true se bate, false se não.

function checkSignature($webhook_signature, $webhook_key, $content) {

$signed_data = $content;

$r = strcmp($webhook_signature, base64_encode(hash_hmac('sha256', $signed_data, $webhook_key, true)));

return $r === 0;

}

03 jun

Enviar formulário de contato com anexo em PHP

Recentemente precisei montar um formulário de contato em PHP com a possibilidade de enviar um arquivo anexado, e percebi que o PHP não suporta isso nativamente pela função mail(). Como eu não quis usar nenhuma biblioteca de terceiros pronta, vi que seria necessário alterar o header do e-mail e acrescentar nele o anexo.

Para alcançar esse resultado, primeiramente precisei alterar o meu formulário. Este abaixo serve como exemplo, note o atributo enctype="multipart/form-data", sem ele não vai funcionar.

<p>

</p>

<p>

<label for="email">Email</label>

</p>

<p>

<label for="anexo">Anexo</label>

</p>

</form>

No script que vai receber os dados para envio, verifico a existência do anexo, já que ele é opcional, e codifico ele no header do e-mail. Aproveito e também dou uma limpada nos textos enviados, para evitar o chamado Email injection, já que não devemos confiar em textos enviados pelo usuário.

<?php

// evitar email injection

function clean_string($string) {

$bad = array(

"content-type",

"bcc:",

"to:",

"cc:",

"href"

);

return str_replace($bad, "", $string);

}

//variáveis

$status = false;

$nome = clean_string($_POST['nome']);

$email = clean_string($_POST['email']);

$mensagem = "Enviado pelo <strong>formulário de contato</strong>";

$destino = "[email protected]"; //E-mail do destinatário

$assunto = "Contato"; // Assunto do E-mail

// se o nome temporário do arquivo estiver vazio, ele não foi enviado

if (empty($_FILES['anexo']['tmp_name'])) {

//cabeçalho

$headers = "Content-type: text/html; charset=utf-8\r\n";

$headers .= "From: $nome <$email>\r\n"; //E-Mail do destinatário

$headers .= "Reply-To: $email\r\n";

//envio

$status = mail ($destino, $assunto, $observacao, $headers);

} else {

// inicialmente, abre o arquivo e converte ele para base64

$file = $_FILES['anexo']['tmp_name'];

$originalFile = $_FILES['anexo']['name'];

$file_size = filesize($file);

$handle = fopen($file, "rb");

$content = fread($handle, $file_size);

fclose($handle);

$content = chunk_split(base64_encode($content));

// separador aleatório necessário para enviar conteúdo mixed

$separator = md5(time());

// fim de linha (usando uma constante do PHP para fim de linha)

$eol = PHP_EOL;

// cabeçalho principal (multipart obrigatório)

$headers = "From: $nome <$email>" . $eol;

$headers .= "MIME-Version: 1.0" . $eol;

$headers .= "Content-Type: multipart/mixed; boundary=\"" . $separator . "\"" . $eol . $eol;

$headers .= "Content-Transfer-Encoding: 8bit" . $eol;

$headers .= "This is a MIME encoded message." . $eol . $eol;

// mensagem (apenas formato html aqui)

$headers .= "--" . $separator . $eol;

$headers .= "Content-Type: text/html; charset=\"utf-8\"" . $eol;

$headers .= $mensagem . $eol . $eol;

// anexo usando o nome do arquivo original

$headers .= "--" . $separator . $eol;

$headers .= "Content-Type: application/octet-stream; name=\"" . $originalFile . "\"" . $eol;

$headers .= "Content-Transfer-Encoding: base64" . $eol;

$headers .= "Content-Disposition: attachment" . $eol . $eol;

$headers .= $content . $eol . $eol;

$headers .= "--" . $separator . "--";

// enviar email

$status = mail($destino, $assunto, "", $headers);

}

if ($status) {

echo "Envio com sucesso";

} else {

echo "Ocorreu um erro no envio";

}

Pronto, com isso agora o formulário é capaz de enviar os anexos corretamente.

Fontes

02 jun

Servidor mostrando código PHP ao invés de processá-lo

Aqui no trabalho eu estava desenvolvendo a página para envio de formulário de contato através de e-mail e, ao copiar o site para a minha instalação do XAMPP, ao invés do site aparecer surgiu na verdade o meu código PHP na janela do Browser.

Pesquisei sobre o assunto e há uma resposta bem completa no Stack Overflow sobre esse assunto, e no meu caso era pelo código estar abrindo as tags php com <? ao invés de usar <?php e uma pesquisa rápida no meu código mostrou 785 ocorrências de todas as aberturas do PHP.

Por sorte, o Notepad++ conta com recursos bem interessantes na hora de localizar e substituir trechos em arquivos, e só precisei fazer uns testes usando o site regexpal para encontrar a expressão regular correta.

Inicialmente, busquei todas as tags que não tinham php, e a expressão regular usada foi <\?(?!php). Fiz um teste para ver se funcionava como esperado, e substitui por “<?php " como deveria ser. Sem as aspas, elas estão aí apenas para evidenciar o espaço extra adicionado ao final.

Lembre de marcar a opção “Expressão Regular”

Ao rodar o site, resolveu o problema.

Blog do Duda

Sem necessidade para um blog

Arquivos de Etiquetas: PHP

Woocommerce – Verificando a assinatura no Webhook

O que é Webhook

Verificando o X-WC-Webhook-Signature

Enviar formulário de contato com anexo em PHP

Servidor mostrando código PHP ao invés de processá-lo