המנעות מ-Magic Strings באמצעות env.

מהן מחרוזות קסם ומספרי קסם ולמה זה רעיון רע להשתמש בהן.

אם יש משהו שמדליק לי נורות אדומות כשאני רואה קוד – זה שימוש ב-Magic numbers. מה זה אומר? זה אומר מחרוזות של טקסט או מספרים קבועים בטקסט באמצע הקוד. למשל משהו כזה:

const totalPrice = 1.17 * price;

או משהו בסגנון הזה:

const result = await fetch('https://some-api-url.com/rest/is/awsome');

או משהו בסגנון הזה:

  let transporter = nodemailer.createTransport({
    host: 'smtp.mail.mydomain.com',
    port: 465,
    secure: true, 
    auth: {
      user: process.env.user, 
      pass: process.env.pass,
    },
  });

מה הן מחרוזות הקסם? בדוגמה הראשונה המע"מ. בדוגמה השניה הכתובת של ה-API ובדוגמה השלישית ה-host וה-port.

למה זה בעייתי? כי מדובר בחלקים בקוד שיכולים בהחלט להשתנות בקוד. כתובות של URL יכולים להשתנות. גם הוסטים של כתובות, גם הפורט. וכשהם משתנות, זה גיהנום לאתר את המקומות שבהם משתמשים בהם בכל פינה בקוד וגם קשה לבצע את השינויים. לא תמיד זה עניין של חפש והחלף. לפעמים יש לנו שני וריאציות בקוד כמו למשל:

// בקובץ אחד זה ככה
const result = await fetch('https://some-api-url.com/rest/is/awsome');
// בקובץ שני זה יכול להיות ככה
const baseUrl = 'https://some-api-url.com';
const result = await fetch(`${baseUrl}/rest/is/awsome`);
// בקובץ שלישי זה יכול להיות אחרת לגמרי
const scheme = 'https';
const baseUrl = `${scheme}some-api-url.com`;
const result = await fetch(`${baseUrl}/rest/is/awsome`);

וכן, זה בהחלט יכול להיות בפרויקט של כמה שנים שעובדים עליו כמה וכמה מפתחים. ואז מחליפים את ה-API ל-whatever-api-url.com והמתכנת שצריך להחליף את הכתובת עושה העתק והחלף ל-https://some-api-url.com/rest/is/awsome ואז יש את השינוי והכל בפרודקשן מתחרבש כי מפספסים את הקובץ השני והשלישי, ואז המפתח, שגם ככה הוא בלחץ עושה חפש החלף ל-https://some-api-url.com אבל מפספס את הקובץ השלישי – והכל נורא.

זו הסיבה שבעטיה אנו משתדלים לא להשתמש ב-magic – כי ככה קשה לשנות דברים. המע"מ משתנה? לך תמצא איפה השתמשת בו בכל המקומות. כתובת מסוימת השתנתה? כנ"ל. אנחנו נשתדל להכניס את כל המספרים, מחרוזות הטקסט וההגדרות למקומות מרוכזים.

יש כמה דרכים לעשות את זה ואני אסקור אחת בג'אווהסקריפט – שימוש ב-env. מדובר במודול מאוד חביב של Node.js. המודול, נקרא dotenv והוא פשוט ממש לשימוש. איך משתמשים בו? ראשית, מתקינים אותו כמו כל מודול של npm:

npm install dotenv

טוענים אותו בנקודת הכניסה של הפעלת המערכת שלכם. כאן זה תלוי במערכת אבל בד"כ ב-index.js או ב-app.js אם זה אקספרס באופן הזה:

require('dotenv').config()

מהנקודה הזו ניתן ליצור קובץ env. (הנקודה בהתחלה) שנראה כך:

API_URL=https://some-api-url.com/rest/is/awsome

מהנקודה הזו, ניתן להשתמש בכל מה שיש בקובץ הזה כך:

const result = await fetch(process.env.API_URL);

בכל מקום שבו רוצים להשתמש בכתובת. והמידע נשמר בקובץ ה-env. פשוט וקל.

לא חייבים לטעון את dotenv בהתחלה אלא להשתמש ב-r- כשמריצים את האפליקציה:

node -r dotenv/config your_script.js

יש עוד לא מעט דרכים נוספות להמנע מקסמים. אחת מהן היא enum (במקרה של ג'אווהסקריפט, קובץ JSON שנטען ובנוי באופן מסוים). אבל env היא דוגמה טובה במיוחד בכתובות ובמחרוזות טקסט שחוזרות על עצמן והן קריטיות לאפליקציה.

פוסטים נוספים שכדאי לקרוא

פתרונות ומאמרים על פיתוח אינטרנט

יישום של nonce על מנת להגן מפני התקפות injection

בפוסט הקודם הסברתי על hash עם CSP על משאבי inline – שזה נחמד ומעולה אבל פחות ישים בעולם האמיתי שבו בדרך כלל התוכן ה-inline (בין

פייתון

קבצי קונפיגורציה בפואטרי

הגדרות שמשנות את ההתנהגות של פואטרי באמצעות קבצי הגדרות גלובליים, לוקליים ואפילו משתני סביבה.

ספריות ומודולים

להתנסות ב AutoGPT

הטרנד החם בעולם ה-GPT וה-AI – הפעלת אייג׳נטים בקלות עם Auto GPT.

גלילה לראש העמוד