Ako sa pracuje s Wampserverom?

Práca je úplne jednoduchá… Len nainštalujete a všetko obsluhujete cez malú ikonku v lište.Táto ikonka (niečo ako otáčkomer) signalizuje či služby bežia prípadne nebežia. Po stlačení pravého tlačidla sa zobrazí celková ponuka cez ktorú môžete server ľahko obsluhovať. Pri Wampserver nieje potreba manuálne hľadat extensions a odkomentovávať, tu si jednoducho rozšírenie nájdete a kliknete… Wampserver ešte aj sám server reštartne.

Súčasťou Wampservera je aj PHPMyAdmin pre MySQL5 ale aj SQLLite. Práve pre toto je obsluha stránok a rozšírení úplne jednoduchá, Wampserver si môžete stiahnuť tu.

Kniha PHP a MySQL: Rozvoj webových aplikácií je kompletný sprievodca prípravou databázových webových aplikácií v PHP5 a MySQL5. Vydanie knihy je aktualizované pre programovanie v novej verzii PHP5 a databázach MySQL5 a je v poradí tretie. Kniha je z vydavateľstva Softpress a jej rozsah je dobrých 830 strán.

PHP a MySQL: Rozvoj webových aplikácií je od skúsených autorov ako sú Luke Welling a Laura Thomson. Vďaka skúseným autorom je táto kniha viac ako len príručka programátora.

Pre koho je kniha určená?

Kniha je určená pre každého kto sa chce naučiť programovať v PHP5 v spojení s MySQL5. Vyžaduje aspoň minimálny základ jazyka HTML. Kniha ale podľa môjho názoru nieje úplne vhodná pre človeka ktorý nikdy neprogramoval. Na začiatku knihy je síce krátky rýchlokurz ale po ňom sa kniha hneď púšťa do viacrozmerných polí a objektovo orientovaného programovania. Toto môže začiatočníka trochu “vystrašiť”.

Čo sa naučíte?

Kniha je až po okraj nabitá informáciami všetkého druhu. Celkovo sa skladá až z 33 kapitol ktoré sa zaoberajú všetkým od tvorby internetového obchodu cez tvorbu redakčného systému až po generovanie obrázkov. Po prečítaní tejto knihy budete mať slušný prehľad a znalosti pre tvorbu svojich vlastných dynamických stránok. Jednotlivé kapitoly sa zaoberajú:

Používame PHP

• Rýchlokurz PHP
• Ukladanie a získavanie údajov
• Používanie polí
• Manipulácia s reťazcami a regulárnymi výrazmi
• Znovu použitie kódu a písania funkcií
• Objektovo orientovaný kód PHP

Používame MySQL

• Návrh databázy pre web
• Vytvorenie databázy pre web
• Práca s databázou MySQL
• Prístup k databáze MySQL z webu prostredníctvom PHP
• Pokročilá správa MySQL
• Pokročilé programovanie MySQL

Elektronické obchodovanie a bezpečnosť

• Prevádzkujeme komerčný web
• Zabezpečenie elektronického obchodu
• Overovanie totožnosti užívateľov pomocou PHP a MySQL
• Implementácia bezpečných transakcií s PHP a MySQL

PHP pre pokročilých

• Práca so súborovým systémom a serverom
• Použitie funkcií pre prácu so sieťou a sieťovými protokolmi
• Čas a dátum
• Generovanie obrázkov
• Riadenie relácií v PHP
• Ďalšie užitočné schopnosti

Praktické aplikácie v PHP a MySQL

Informáciami nabitá časť kde svoje doterajšie znalosti premieňate na hotové aplikácie ako sú napríklad: overovanie totožnosti, redakčný systém, webové emailové služby…

• PHP a MySQL pre veľké projekty
• Ladenie
• Overovanie totožnosti a personalizácia užívateľov
• Elektronický obchod
• Redakčný systém
• Budovanie webovej e-mailovej služby
• Budovanie manažéra e-mailovej konferencie
• Webové fórum
• Generovanie personalizovaných dokumentov vo formáte PDF
• Pripojovanie k webovým službám pomocou XML a SOAP

Dodatky

• Inštalácia PHP a MySQL
• Internetové odkazy
• Register

Záverom

Kniha PHP a MySQL: Rozvoj webových aplikácií je podľa mňa perfektná kniha. Možno jedna z najlepších akú si dnes môžete kúpiť k PHP5 a MySQL5. Aj po jej prečítaní ju budete mať stále po ruke aby Vám vždy pomohla keď to budeťe potrebovať. Ak to teda s tvorbou a programovaním internetových stránok myslíte vážne tak táto kniha je to pravé pre Vás.

Čo je to SQL injection?

SQL injection je hackerská metóda ktorá využíva nedostatky (chyby programátora) v kontrole vstupných dát k tomu aby mohol hacker podstrčiť namiesto očakávaných informácií vlastné a prebrať tak kontrolu nad databázou nad rámec svojich práv. Tým prebraním kontroly je myslená úplná kontrola nad databázou kde hacker môže databázu kopírovať, mazať, pridávaťľubovoľné údaje alebo kradnúť dôležité informácie.

Kontrola vstupu

Kontrola vstupu býva často kameňom úrazu mnohých programátorov. Platí pravidlo: “Neverte údajom od užívateľa!”. A práve toto je zdrojom najčastejších útokov a problémov. K problémom s SQL injection nastáva vtedy keď sa nestaráme poriadne (alebo vôbec) o informácie ktoré má obdržať náš SQL dotay z adresy URL. Napríklad: Script očakáva číslo ale vy mu pošlete písmeno, v prípade že script nevie na túto situáciu pružne reagovať zobrazí chybovú hlášku ktorá môže byť znakom, že niečo nieje v poriadku.

Ako na to?

Pozrite sa na nasledujúcu (vymyslenú) adresu:
http://www.adresa.sk/clanky.php?id=1
Na tejto adrese sa nachádza súbor clanky.php ktorý podľa hodnoty (čísla) v premennej ID zobrazuje konkrétne články.

Ako odtestovať SQL injection?

V prvom rade skúste manipulovať s hodnotou premennej ID v parametri adresy URL, napríklad:
http://www.adresa.sk/clanky.php?id=2
http://www.adresa.sk/clanky.php?id=3
http://www.adresa.sk/clanky.php?id=4
Ak články s takýmto ID existujú a sú dostupné mali by sa nám zobraziť. To nieje nič zvláštne ale teraz skúsime ako si script poradí keď dostane nečíselné (neočakávané) parametre. Na príkladovaj adrese skúste zadať namiesto čísla nečíselnú hodnotu prípadne ukončiť dotaz úvodzovkou, napríklad:
http://www.adresa.sk/clanky.php?id=xxx
http://www.adresa.sk/clanky.php?id='
V prípade, že script nemá ošetrený vstup a chybové hlásenia mala by sa zobraziť varovná správa. Pre hackera to môže byť dobré znamenie že na stránke sa dá prevádzkovať SQL injection (pre dotyčný web je to však zlá správa).

Teraz skúsime konkrétny spôsob ako pomocou SQL injection vypísať všetky dostupné články, zápis a tva adresy by vyzeral nejak takto:
http://www.adresa.sk/clanky.php?id=1 or 1=1
V prehliadači sa medzery premenia na %20 a adresa bude vyzerať nejak takto:
http://www.adresa.sk/clanky.php?id=1%20or%201=1
Ak SQL injection funguje tak by sa mali vypísať úplne všetky dostupné články. V dotaye sa nasledujúci zápis prejaví napríklad ako:
SELECT * FROM moje_clanky WHERE id_clanku = ID OR 1=1
Toto bude mať za následok vypísanie všetkých dostupných článkov pretože nech už bola hodnota ID akákoľvek podmienka 1=1 bola splnená. Zápis OR 1=1 je tzv. večná pravda ktorou si môžete odtestovať SQL injection v praxi. V prípade, že večná pravda funguje tak dotyčná stránka má “dosť veľký problém” a je len otázkou času kedy to objaví niekto kto vie čo s tým. Možnosti SQL injection sa neobmedzujú len na vypisovanie všetkých článkov, vy totiž môžete databázu ľubovoľne upravovať, kopírovať, mazať prípadne kradnúť dôležité informácie.

O ďalších možnostiach SQL injection sa dočítate niekedy v ďalšom pokračovaní článku.