Marcelo Valvassori Bittencourt 18.02.2022 15:59:15

What are the application problems?

Jeroen Moolenschot 24.02.2022 22:52:37

Hi Marcelo,
Thank you for changing the description into English. 
I have renamed your listing in the JED into "PagTesouro".
There are some errors which need to be fixed before we can publish this extension.

US1 - Update Servers missing or incorrect in XML file(s).

The update servers tag in your XML file(s) is missing or incorrect. This is a requirement of all extensions uploaded after 10th January 2017

PH2 - Files missing JEXEC security

Security is extremely important in Open Source Software, so to help prevent execution of files outside of the framework, the following code is required in all of your PHP files unless they are external library files:

no direct access defined( '_JEXEC' ) or die( 'Restricted access' ); 

This code is missing at the start of the following files:

/pagtesouro-save.php

/pagtesouro.php

/site/call.php

/site/class.pagtesouro.php

/site/pagtesouro.php

When you have fixed this issues please, reupload the package and open a new ticket so we can recheck an approve your extension.

Kind regards,

Jeroen Moolenschot

Tradução

Jeroen Moolenschot 24.02.2022 22:52:37

 Olá Marcelo,
 Obrigado por mudar a descrição para o inglês. 
 Eu renomeei sua listagem no JED para "PagTesouro".
 Existem alguns erros que precisam ser corrigidos antes que possamos publicar esta extensão.

US1 - Servidores de atualização ausentes ou incorretos no(s) arquivo(s) XML.

A tag de servidores de atualização em seu(s) arquivo(s) XML está ausente ou incorreta. Este é um requisito para todas as extensões enviadas após 10 de janeiro de 2017

PH2 - Arquivos sem segurança JEXEC

A segurança é extremamente importante no software de código aberto, portanto, para ajudar a evitar a execução de arquivos fora da estrutura, o seguinte código é necessário em todos os seus arquivos PHP, a menos que sejam arquivos de biblioteca externa:

 nenhum acesso direto definido( '_JEXEC' ) or die( 'Acesso restrito' );

Este código está ausente no início dos seguintes arquivos:

/pagtesouro-save.php

/pagtesouro.php

/site/call.php

/site/class.pagtesouro.php

/site/pagtesouro.php

Quando você corrigir esses problemas, reenvie o pacote e abra um novo ticket para que possamos verificar novamente e aprovar sua extensão.

Atenciosamente,

Jeroen Moolenschot

O campo Referência é um campo opcional com até 20 posições numéricas.
Está com máscara "mm/aaaa", como se fosse relativo a um mês/ano, mas é simplesmente um código numérico

Na tela do registro do token, a gente cadastra apenas o token e os serviços associados.
Há algumas OMs que são UGE de várias OMs (Ex: 1ª RM é UGE de mais de 10 OMs, incluindo o 2º CTA).
Seria interessante ter:

• No Registro do token, haver os campos para cadastro da OM e Código de UGE
• Na tela de pagamento, para o caso citado, o Usuário poder escolher de qual OM se trata.

Existe um problema ao utilizar new FileReader() ao selecionar o arquivo para restore uma segunda vez.
Para isso atualmente o sistema, após abrir um arquivo a primeira vez, desaparece! Reaparecendo somente quando é recarregado a interface de administração (mascarando assim este bug).

Para colocar o botão no menu do topo é necessário concertar este bug.

Sugestões atuais:

• após carregar o arquivo de backup destruir e recriar botão e sua ação;
• estudar melhor metodos de callback do FileReader;
• levar para backend e tratar com php a abertura do arquivo, retornando seu conteudo para interface;

Ao fazer uma recuperação do Arquivo JSON backupeado, ele apaga os Tokens e códigos de serviço existentes, mas mantém o CodUG e o nome OM, acrescentando, ao final, o que foi restaurado.
Assim, ficam as OMs, sem códigos MAIS o que foi restaurado...
Quando tem que instalar uma versão nova, ele apaga os dados que existem e coloca os códigos de exemplo.
Ao recuperar o JSON, vai ficar:

• Os exemplos +
• O recuperado
  Obrigando o usuário a apagar o exemplo

Da maneira como está, a chamada ao formulário é feita através da administração do Joomla (/?option=com_pagtesouro).
O ideal é que possa ser feita a chamada através de um apelido (Ex: /pagtesouro), como qualquer artigo ou módulo do Joomla. Isto, inclusive faz parte das questões de segurança (usar resescrita de URL e URLs aigáveis).
Aqui no 2º CTA, adotamos uma maneira simples, mas eficaz de proteger a administração: temos 2 URL para a página:

• admin..eb.mil.br → acessível apenas na EBNet, onde se pode acessar a pasta /administrator
• www..eb.mil.br → acessível na Internet, onde NÃO se pode acessar a pasta /administrator
  São 2 VirtualHost no apache, onde o www aponta para uma subpasta que contém apenas links para TUDO que está na pasta principal EXCETO a pasta /administrator.
  Da maneira como está, ele faz a chamada para a pasta /administrator/componentes/com_pagtesouro, então ele não encontra o formulário na internet e traz a página em branco
  Esta é uma condição essencial para que possa ser adotado como padrão de uso pelo 2º CTA (provavelmente, o mesmo aconteça nos outros CT/CTA)
  Uma sugestão:
  Normalmente, os componentes criam uma entrada na lista de "tipos de ítens de menu", que faze a carga do formulário correspondente.
  Ou, se for mais fácil, criar um apontamento direto para o formulário, usando o alias (apelido) dele.

No preenchimento dos campos na tela de administração, colocar labels nos campos:

• Código da UGE
• Nome da UGE
• Token
• Código do Serviço Cadastrado
• Descrição do Serviço Cadastrado
  OBS: Estes dois mostraram-se importantes, pois tem OM cadastrando o Código de Recolhimento, que é outro e não faz parte do JSON a ser enviado
  Talvez uma boa ideia, também, seja a de incluir o CODOM, mesmo sendo desnecessário para a API, para que as OMs não confundam o CODOM com o CODUG, ou então fazer essa advertência (observei essa confusão, também)

Salvar os dados do formulário de geração do PagTesouro para tabela da base de dados Joomla.

Anexar a issue documentação referente a criação de tabelas na instalação do componente.

Apenas estética...
Como está, parece que a página está mal formatada (dá a impressão que o campo nome não coube no espaço e foi jogado pra baixo)

Implementação de bloqueio cross-site request forgery (falsificação de solicitação entre sites)

Método: utilização de token
Esse método consiste em incluir um token (string) aleatório em cada solicitação, ou seja, será adicionado um campo oculto a cada formulário existente com o token como valor.

Esse token é gerado pelo PHP e armazenado em uma sessão para quando existir uma requisição, o sistema fazer a comparação com o valor que foi preenchido automaticamente (ou mal-intencionada) no formulário.

$_SESSION['token'] = md5(uniqid(rand(), true));)

Ou

function generateRandomString($length = 15) {
    $characters = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $charactersLength = strlen($characters);
    $randomString = '';
    for ($i = 0; $i < $length; $i++)
        $randomString .= $characters[rand(0, $charactersLength - 1)];

    return $randomString;
} 
$_SESSION['Token'] = generateRandomString();

<input type="hidden" name="token" value="<? php echo $_SESSION['token']?>" />

• Botão para backup da dos dados cadastrados
• Botão para selecionar e restaurar arquivo de backup

No tutorial na wiki do GitHub (https://github.com/bitts/PagTesouro/wiki/Componente-Joomla) consta que o nome do arquivo para fazer Download é INSTALADOR.zip e o link aponta para o arquivo comPagTesouro (https://github.com/bitts/PagTesouro/releases/download/v2.1/com_PagTesouro.zip), embora o arquivo no site principal seja PagTesouro-main.zip
OBS: O padrão das extensões Joomla é:
com_ → componente
mod_ → módulo
plg_ → plugin
pkg_ → pacote

• Validar arquivo pagtesouro.json (ou arquivo de backup) ele deve estar no padrão novo para que funcione corretamente.
• Exibir mensagem de erro informando que o arquivo não esta no padrão correto.

Obs.: Quando o arquivo no padrão correto do objeto javascript, assim que carregada a interface de administração, o formulário de cadastro de UGEs/Tpkens/Serviços fica preenchido com os dados (já funcional).

Estou tendo o seguinte erro quando abro o formulário para gerar a GRU no Joomla:

json_decode(): Argument #1 ($json) must be of type string, stdClass given
/var/www/html/joomla/components/com_pagtesouro/class.pagtesouro.php:435

Alguém já teve esse problema?

Utilização de mascara em determinados campos para previnir erro de digitação de usuários:
Campos necessários:

• Competência mm/yyyy
• Referência mm/yyyy
• CPF/CNPJ

Necessário aplicar mascara e remove-las de antes de serem submetidas ao servidor do PagTesouro.

Colocar ação de datepicker nos input que contem seleção de data