Celý validátor pre overenie domény v ZF

class My_Validate_AvailableDomain extends Zend_Validate_Abstract
{
const NOT_AVAILABLE = 'NotAvailableDomain';
const NOT_VALID = 'NotValidDomain';
const NO_TLD = 'NoTLD';

protected $_messageTemplates =

array(
self::NOT_AVAILABLE => 'Táto doména nie je voľná! Skúste vybrať inú...',
self::NOT_VALID => 'Neplatná doména, nesprávny tvar domény!',
self::NO_TLD => 'Vyberte TLD domény! (Top Level Domains)'
);

public function isValid($value, $context = null)
{

$value = (string) $value;
$this->_setValue($value);

if(!eregi("^[a-z0-9_\-]*$", $value)) {
$this->_error(self::NOT_VALID);
return false;
}

if(isset($context['tld']) && $context['tld'] == "") {
$this->_error(self::NO_TLD);
return false;
}

###################

// ked budete pridavat domeny, musite zvysovat cislo v premennej podla poctu tld
$tlds = 32;

$tldt['co.uk'] = 1;
$tld[1]=".co.uk";
$nic[1]="whois.nic.uk";
$rep[1]="No match for";

$tldt['org.uk'] = 2;
$tld[2]=".org.uk";
$nic[2]="whois.nic.uk";
$rep[2]="No match for";

$tldt['net.uk'] = 3;
$tld[3]=".net.uk";
$nic[3]="whois.nic.uk";
$rep[3]="No match for";

$tldt['me.uk'] = 4;
$tld[4]=".me.uk";
$nic[4]="whois.nic.uk";
$rep[4]="No match for";

$tldt['com'] = 5;
$tld[5]=".com";
$nic[5]="whois.opensrs.net";
$rep[5]="Can't get information";

$tldt['net'] = 6;
$tld[6]=".net";
$nic[6]="whois.opensrs.net";
$rep[6]="Can't get information";

$tldt['org'] = 7;
$tld[7]=".org";
$nic[7]="whois.publicinterestregistry.net";
$rep[7]="Not found";

$tldt['biz'] = 8;
$tld[8]=".biz";
$nic[8]="whois.nic.biz";
$rep[8]="not found";

$tldt['info'] = 9;
$tld[9]=".info";
$nic[9]="whois.afilias.net";
$rep[9]="not found";

$tldt['cc'] = 10;
$tld[10]=".cc";
$nic[10]="whois.nic.cc";
$rep[10]="no match";

$tldt['uk.com'] = 11;
$tld[11]=".uk.com";
$nic[11]="whois.centralnic.com";
$rep[11]="no match";

$tldt['uk.net'] = 12;
$tld[12]=".uk.net";
$nic[12]="whois.centralnic.com";
$rep[12]="no match";

$tldt['name'] = 13;
$tld[13]=".name";
$nic[13]="whois.nic.name";
$rep[13]="no match";

$tldt['sk'] = 14;
$tld[14]=".sk";
$nic[14]="whois.ripe.net";
$rep[14]="Not found.";

$tldt['cz'] = 15;
$tld[15]=".cz";
$nic[15]="whois.nic.cz";
$rep[15]="No entries found.";

$tldt['eu'] = 16;
$tld[16]=".eu";
$nic[16]="whois.eu";
$rep[16]="Status:      FREE";

$tldt['at'] = 17;
$tld[17]=".at";
$nic[17]="whois.nic.at";
$rep[17]="nothing found";

$tldt['de'] = 18;
$tld[18]=".de";
$nic[18]="whois.denic.de";
$rep[18]="free";

$tldt['ru'] = 19;
$tld[19]=".ru";
$nic[19]="whois.ripn.ru";
$rep[19]="No entries found";

$tldt['tv'] = 20;
$tld[20]=".tv";
$nic[20]="whois.nic.tv";
$rep[20]="No match for";

$tldt['be'] = 21;
$tld[21]=".be";
$nic[21]="whois.geektools.com";
$rep[21]="Status:      FREE";

$tldt['ch'] = 22;
$tld[22]=".ch";
$nic[22]="whois.nic.ch";
$rep[22]="We do not have an entry";

$tldt['li'] = 23;
$tld[23]=".li";
$nic[23]="whois.nic.ch";
$rep[23]="We do not have an entry";

$tldt['lt'] = 24;
$tld[24]=".lt";
$nic[24]="whois.domreg.lt";
$rep[24]="Status:      available";

$tldt['lv'] = 25;
$tld[25]=".lv";
$nic[25]="whois.nic.lv";
$rep[25]="%ERR - Nothing found";

$tldt['se'] = 26;
$tld[26]=".se";
$nic[26]="whois.nic-se.se";
$rep[26]="not found.";

$tldt['ac'] = 27;
$tld[27]=".ac";
$nic[27]="whois.nic.ac";
$rep[27]="- Available";

$tldt['ag'] = 28;
$tld[28]=".ag";
$nic[28]="whois.nic.ag";
$rep[28]="Not found";

$tldt['cc'] = 29;
$tld[29]=".cc";
$nic[29]="whois.nic.cc";
$rep[29]="No match";

$tldt['cn'] = 30;
$tld[30]=".cn";
$nic[30]="whois.cnnic.net.cn";
$rep[30]="no matching record";

$tldt['cx'] = 31;
$tld[31]=".cx";
$nic[31]="whois.nic.cx";
$rep[31]="Status: Not Registered";

$tldt['ws'] = 32;
$tld[32]=".ws";
$nic[32]="whois.worldsite.ws";
$rep[32]="No match for";

###########################

$domainname = $value;
$texttld = $context['tld'];
$stld = $tldt[$texttld];
$domname= $domainname.'.'.$texttld; //$tldt[$stld];

$wnic=$nic[$stld];
$ns = fsockopen($wnic,43); fputs($ns,"$domname\r\n");
while(!feof($ns)) $result .= fgets($ns,128); fclose($ns);
if (eregi($rep[$stld],$result)) {
return true;
} else {
$this->_error(self::NOT_AVAILABLE);
return false;
}
}
}

const NOT_AVAILABLE = 'NotAvailableDomain';
const NOT_VALID = 'NotValidDomain';
const NO_TLD = 'NoTLD';

protected $_messageTemplates =
array(
  self::NOT_AVAILABLE => 'Táto doména nie je voľná! Skúste vybrať inú...',
  self::NOT_VALID => 'Neplatná doména, nesprávny tvar domény!',
  self::NO_TLD => 'Vyberte TLD domény! (Top Level Domains)'
);

Script obsahuje aj overenie tvaru domény kde ak sa nezhoduje tvar podľa regulárneho výrazu vráti to FALSE. Pokračovať bude len ak je tvar správny.

Hodnoty z formulára pre overenie

Validátor je navrhnutý tak, že preberie 2 hodnoty z formulára a to: TLD, a názov domény (pomenujme si ich domain a tld). TLD bude klasický selectbox a názov domény bude klasický input pre text. V tomto scripte sa preberajú v tomto mieste:

$domainname = $value;
$texttld = $context['tld'];
$stld = $tldt[$texttld];
$domname= $domainname.'.'.$texttld;

Zobrazenie formulára a overenie domény

Samotné volanie validátora je jednoduché, prikladám ukážku kde mám vytvorené políčka formuláru domain a tld. Pri TLD vložíme cez addMultiOption do rozbaľovátka hodnoty ktoré chceme overovať. (MOBI a EU možno nepojde, treba upraviť WHOIS)

$name = new Zend_Form_Element_Text('domain');
$name ->setLabel('Názov domény')
->setRequired(true)
->addFilter('StripTags')
->addFilter('StringTrim')
->addFilter('StringToLower')
->addValidator('NotEmpty')
->addValidator('AvailableDomain')
->addValidator('stringLength', false, array(1, 100));
$name->addPrefixPath('My_Validate', 'My/Validate/','validate');
$name->setDecorators(array('Composite','CustomHtml'));
$this->addElement($name);

$tld = new Zend_Form_Element_Select('tld');
$tld->addMultiOption('', '');
$tld->addMultiOption('sk', 'sk');
$tld->addMultiOption('cz', 'cz');
$tld->addMultiOption('com', 'com');
//$tld->addMultiOption('eu', 'eu');
$tld->addMultiOption('biz', 'biz');
$tld->addMultiOption('info', 'info');
$tld->addMultiOption('name', 'name');
$tld->addMultiOption('net', 'net');
$tld->addMultiOption('org', 'org');
//$tld->addMultiOption('mobi', 'mobi');
$tld->addMultiOption('de', 'de');
$tld->setLabel('')
->addFilter('StripTags')
->addFilter('StringTrim')
->setDecorators(array('Composite','CustomHtml'))
->addValidator('NotEmpty');
$this->addElements(array($tld));

Najdôležitejšie je mať políčka domain a tld. V políčku domain treba zavolať

$name->addPrefixPath('My_Validate', 'My/Validate/','validate');
$name->addValidator('AvailableDomain');

Podobné články

• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 23. Január 2009 -- Ako vytvoriť vlastný validátor pre Zend Framework: overenie hesiel
• 20. September 2008 -- Zend Framework pre PHP
• 7. August 2008 -- Ako presunúť web na novú doménu a neprísť o návštevnosť z Google
• 14. Marec 2008 -- PHP5 a MySQL5 na localhoste? S Wampserverom nič ľahšie…

O Zend Frameworku je na internete toho popísaného veľa, nie ale všetko je zrozumiteľné hlavne pre človeka ktorý sa do toho chce dostať a nie všetkému rozumie. Jedna z takých vecí je napríklad View Helper. V podstate nutnosť pri práci so Zendom. Tento článok je laický návod na jeho použitie.

Zend Framework sa podľa mňa ťažko učí z oficiálnej príručky kde človek veľa veciam nerozumie a často potrebuje vedieť aj iné veci. Práve preto asi  urobím niečo ako mini seriál laických návodov Zend Frameworku lebo keby existovalo niečo keď som sa to snažil naučiť je sám tak by som si ušetril kopec času. Uvidíme...

Čo je View Helper?

Vzhľadom na to, že je to framework typu MCV tak logika so vzhľadom je oddelená vec, view helper je niečo medzi tým. V podstate je to ako PHP funkcia ktorá mi niečo robí (počíta niečo alebo vráti kus HTML kódu) a vracia určité hodnoty alebo kusy kódov.  Už z názvu View je používaná v pohľadoch ale dá sa použiť aj v controller, tu je to ale na zváženie lebo nie vždy je vhodné do logiky vkladať View helper ktorý mi môže narušiť tú logiku MCV frameworku. Ak teda sa už hráme, že oddeľujeme logiku od vzhľadu tak je najlepšie View helper v controlleroch používať rozumne alebo vôbec.

Kedy je to vhodné a vlastne na čo použiť View Helper?

View Helper je vhodný do miest kde určitý úkon vykonávam často prípadne existuje na každej podstránke. Tým ale nemyslím napríklad ľavý stĺpec, pravý stĺpec, pätičku alebo hlavičku. Na niečo takéto sa to síce použiť dá ale podľa mňa to nieje dobre, toto sa dá vytvoriť pomocou vlastností a možností layoutov. View helper sa pri klasickom webe hodí napríklad na generovanie odkazov na registráciu, prihlásenie, odhlásenie a výpis prihláseného užívateľa. I keď sa toto bude nachádzať na každej podstránke tak to aké odkazy sa zobrazia si vyžaduje určitý script na overenie či je užívateľ prihlásený alebo nie. Mohli by ste to dať do hlavičky kde to nejakým spôsobom overiť ale nieje to praktické. View helper to vyrieši  a do pohľadu len vložíme jeden riadok kódu ktorý nám vráti čo potrebujeme.

Vytvárame View Helper

Vytvorenie View Helperu je jednoduché v podste si len vytvoríte jednu triedu s určitým názvom, tú uložíte na určité miesto vďaka tomu, že názov triedy a jej umiestnenie v adresároch umožní to, že View Helper použijete kdekoľvek bez toho aby bolo niekde treba niečo includovať.

View Helper zavoláte v bez nutnosti includovania, to vďaka názvu triedy ktorá odkazuje na jeho umiestnenie. Toto je veľmi pohodlné, View Helper môžete zavolať aj v controller triede ale to je na zváženie, nemiešajte logiku so vzhľadom.

Jednoduchý View Helper vyzerá napríklad takto:

<?php

class Zend_View_Helper_LoggedInUser

{

  protected $_view;

  function setView($view) {

    $this->_view = $view;    

  }    

  function loggedInUser() {

    $auth = Zend_Auth:getInstance();

    if($auth-hasIdentity()) 

    {

      $logoutUrl = $this->_view->linkTo('auth/logout');

      $user = $auth->getIdentity();

      $username = $this->_view->escape(ucfirst($user->username));

      $string = 'Logged in as ' . $username . ' | <a href="' . $logoutUrl . '">Logout</a>'; 

    } else {

      $loginUrl = $this->_view->linkTo('authentification/identify');

      $string = '<a href="' . $loginUrl . '">Log In</a>';

    }

    return $string;

  }        

}

Zend_View_Helper_LoggedInUser

LoggedInUser je názov triedy, najideálnejšie je si ju nazvať tak ako budeme volať aj View Helper v pohľade.

Funkciu SetView neriešte vložte to do každého View Helperu. Ďalej nasleduje funkcia ktorá sa volá tak isto ako názov triedy a to je to kde si dáte vlastný kód ktorý niečo spraví a vráti. V našom prípade to bude overenie či je užívateľ prihlásený a ak áno tak vypíše jeho meno a zobrazí odkaz na odhlásenie. Podrobne jej kód vysvetľovať nebudem.

V jednom View Helper môžete vytvoriť aj viac funkcií kde jedna môže niečo vrátiť druhej, funguje to ako keď v jednej funkcii vložíte inú atď.

View Helper už máme, treba ho len zavolať

View Helper máme vytvorený, jeho názov je dobre vytvorený, je umiestnený v presnom adresári... teraz ho už len zavoláme na mieste kde potrebujeme. V pohľade to spravíme s kódom napríklad:

<?php echo $this->LoggedInUser(); ?>

$this->view->LoggedInUser();

Podobné články

• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 23. Január 2009 -- Ako vytvoriť vlastný validátor pre Zend Framework: overenie hesiel
• 20. September 2008 -- Zend Framework pre PHP
• 27. Apríl 2009 -- Tutoriál: 3D text vo Photoshope
• 7. August 2008 -- Ako presunúť web na novú doménu a neprísť o návštevnosť z Google

Začneme zložitejšie a rovno celým kódom validátora:

<pre>&lt;?php
class My_Validate_PasswordConfirmation extends Zend_Validate_Abstract
{
    const NOT_MATCH = 'notMatchPasswords'; 

    protected $_messageTemplates =  array(
        self::NOT_MATCH =&gt; 'Password are not equals'
    );  

    public function isValid($value, $context = null)
    {
        $value = (string) $value;
        $this-&gt;_setValue($value); 

        if (is_array($context)) {
            if (isset($context['password_confirm']) &amp;&amp; ($value == $context['password_confirm']))
            {
                return true;
            }
        } elseif (is_string($context) &amp;&amp; ($value == $context)) {
            return true;
        } 

        $this-&gt;_error(self::NOT_MATCH);
        return false;
    }
}
?&gt;</pre>

Po kúskoch

Teraz si to rozoberieme postupne.

class My_Validate_PasswordConfirmation extends Zend_Validate_Abstract

Vytvoríme si triedu pre náš validátor... rozširujeme triedu Zend_Validate_Abstract. Meno našej triedy bude PasswordConfirmation lebo budeme overovat hodnoty dvoch políčok formulára. Teraz ale pozor na textik My_Validate_ pred názvom triedy. Nieje to tam pre srandu a určuje to v podstate miesto kde je validátor uložený. V našom prípade to je adresár library/My/Validate/.

Umiestniť si to môžete aj inde ale toto je jedno z odporúčaní, ako vidíte na obrázku tak do adresára My umiestňujete aj paginatory, vlastne decoratory ci ine dolezite triedy. Takže, teraz vieme ako zostaviť názov triedy a môžeme ísť ďalej.

const NOT_MATCH = 'notMatchPasswords';

Vytvoríme si konštantu s názvom NOT_MATCH ktorej bude priradená hláška pri nesplnení overovania (v našom prípade ak sa heslá nebudú rovnať).

V ďalšej funkcii si do premenných preberieme hodnoty inputov a v podmienke:

if (isset($context['password_confirm']) && ($value == $context['password_confirm']))

overíme či heslá sú zhodné, ak áno vrátime si TRUE, ak nie vrátime FALSE a zobrazíme $this->_error(self::NOT_MATCH); čo nám vygeneruje hlášku formulára.

Takto samozrejme môžete overovať čokoľvek... heslá, regexp, adresy, unikátne údaje.

Podobné články

• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 20. September 2008 -- Zend Framework pre PHP
• 7. August 2008 -- Ako presunúť web na novú doménu a neprísť o návštevnosť z Google
• 14. Marec 2008 -- PHP5 a MySQL5 na localhoste? S Wampserverom nič ľahšie…

Čo je Zend Framework?

Zend Framework je PHP knižnica pre vývoj aplikácií v PHP. Obsahuje množstvo komponentov ktoré umožňujú vyvíjať PHP aplikácie ľahšie s udržateľnejším kódom pre budúce úpravy a vylepšenia.

Prečo Zend Framework?

• Rozsiahla dokumentácia
• Rozsiahla komunita
• Všetko v jednom, všetky Zend obsahuje všetko čo pri vývoji budete potrebovať
• Jednoduchosť vývoja
• Umožní rýchly vývoj aplikácií

Jednotlivé moduly

Zend Framework môžeme rozdeliť do šiestich modulov, tie pokrývajú všetky nástroje pre vývoj aplikácií. Sú to:

Jadro:

Zend_Controller, Zend_View, Zend_Db, Zend_Config, Zend_Filter, Zend_Validate, Zend_Registry, Zend_Acl,  Zend_Auth, Zend_Session

Internalizačné nástroje:

Zend_Date, Zend_Locale, Zend_Measure

Hypertext Transfer Protocol:

Zend_Http_Client, Zend_Http_Server, Zend_Uri

Inter-application komunikácia:

Zend_Json, Zend_XmlRpc, Zend_Soap, Zend_Rest

Web Services:

Zend_Feed, Zend_Gdata, Zend_Service_Amazon, Zend_Service_Flickr, Zend_Service_Yahoo

Pokročilé:

Zend_Cache, Zend_Search, Zend_Pdf, Zend_Mail, Zend_Mime, Zend_Measure

MCV: Model-Controller-View

Komponenty tvoriace jadro Zend Frameworku využívajú tzv. MCV (Model-controller-view) systém pre tvorbu aplikácií kde je oddelený vzhľad internetovej stránky od logiky a controllerov. Hlavné časti MCV teda tvoria: Zend_Controller (Controller), Zend_View (View) a Zend_Db (Model)

Toto je priblíženie komponentov Zend Frameworku, postupne prinesiem ďalšie články o práci s týmto Frameworkom.

Podobné články

• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 23. Január 2009 -- Ako vytvoriť vlastný validátor pre Zend Framework: overenie hesiel
• 25. Január 2012 -- Vytvárame Facebook aplikácie III. Ako vytvoriť pekný LIKE z Vašeho webu
• 7. August 2008 -- Ako presunúť web na novú doménu a neprísť o návštevnosť z Google

Vzhľadom na to, že používam jeden hosting na ktorý mám maskované viaceré domény tak mi stačilo len maskovať doménu na sub-adresár môjho blogu. To ale spôsobí, že aj pôvodná adresa blogu bude funkčná.

Keď presuniem web na novú doménu tak všetky staré odkazy budú nefunkčné?

Áno, ak s tým nič nespravíte! Ak je to dostatočné množstvo odkazov prečo o traffic z nich prísť? Ak máte hosting s PHP a podporou modRewrite dá sa to veľmi elegantne vyriešiť. Pomocou modRewrite môžete na serveri definovať podmienku ktorá akúkoľvek URL presmeruje na novú doménu a tak nemusíte riešiť to ak nie všetko bude hneď zaindexované a ak niekto bude pristupovať zo starých výsledkov vyhľadávania bude presmerovaný na tú istú URL s novou doménou.

Ja som to vyriešil týmto kódom v .htaccess súbore:

RewriteCond %{HTTP_HOST}^blog.peteroravec.net
RewriteRule (.*) http://www.peteroravec.sk/$1 [R=301,QSA,L]

Tieto dva riadky kódu spôsobia že ak pristúpite napríklad z Googlu na starú doménu tak budete presmerovaný na novú doménu.

Čo na to povie Google?

Presmerovanie sa deje pod hlavičkou 301 takže podľa mňa je to OK. Google postupne staré odkazy odstráni i keď mu to bude trvať možno aj pár mesiacov. Treba si uvedomiť, že presúvanie webu na novú doménu sa nerobieva zrovna každý deň ale toto je riešenie ako sa to dá spraviť bezbolestne s tým, že neprídete o doterajší traffic.

Podobné články

• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 9. Február 2010 -- Užívateľská recenzia Motorola Milestone
• 25. November 2009 -- Mám 10 pozvánok do Google Wave! Chce niekto?
• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 17. Február 2009 -- Google Sync: synchronizujte kontakty a kalendár s Push technológiou

Ako sa pracuje s Wampserverom?

Práca je úplne jednoduchá... Len nainštalujete a všetko obsluhujete cez malú ikonku v lište.Táto ikonka (niečo ako otáčkomer) signalizuje či služby bežia prípadne nebežia. Po stlačení pravého tlačidla sa zobrazí celková ponuka cez ktorú môžete server ľahko obsluhovať. Pri Wampserver nieje potreba manuálne hľadat extensions a odkomentovávať, tu si jednoducho rozšírenie nájdete a kliknete... Wampserver ešte aj sám server reštartne.

Súčasťou Wampservera je aj PHPMyAdmin pre MySQL5 ale aj SQLLite. Práve pre toto je obsluha stránok a rozšírení úplne jednoduchá, Wampserver si môžete stiahnuť tu.

Podobné články

• 16. Júl 2010 -- Užívateľská recenzia digitálnej zrkadlovky Nikon D90
• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 9. Február 2010 -- Užívateľská recenzia Motorola Milestone
• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 23. Január 2009 -- Ako vytvoriť vlastný validátor pre Zend Framework: overenie hesiel

Protokol HTTP je bezstavová technológia, tzn. že samotný protokol nemá žiadne prostriedky ktoré by dokázali zachovávať stavy medzi jednotlivými prechodmi medzi stránkami kde by sme vedeli či požiadavka pochádza od toho istého užívateľa.

Hlavný rozdiel medzi COOKIEs a SESSION je ten, že COOKIES sa ukladajú u klienta a SESSION na webovom serveri. To čo je ukladané u klienta (COOKIEs) je vo svojej podstate potenciálne nebezpečné. U údajov ukladaných u užívateľa platí, že to čo prehliadač prijme môže byť uložené, zmenené a poslané naspať. Tento fakt môže spôsobiť nemalé problémy hlavne tam kde používame COOKIEs namiesto SESSION. Preto si treba uvedomiť kde a kedy použiť SESSION alebo COOKIES.

Ako funguje SESSION?

SESSION k svojmu správnemu fungovaniu využíva COOKIEs. Samotná relácia je riadená priradeným popisovačom čo je vlastne PHP ID (zašifrované náhodné číslo ktoré je uložené u klienta ako COOKIEs), to odkazuje na SESSION uložené na serveri.

Prácu s reláciami by sme mohli rozdeliť do týchto fáz:

• Zahájime reláciu: Pod týmto pojmom rozumieme to, že musíme dať serveru (na ktorom stránka beží) vedie´t že ideme použiť SESSION. Zahájime ho funkciou session_start(); na začiatku nášho scriptu.session_start();Môžeme tiež v PHP.INI zapnúť direktívu SESSION.AUTO_START ktorá zabezpečí, že relácia bude automaticky spustená po prístupe na stránku.
• Registrácia session: Nebudeme sa zaoberať zastaralými spôsobmi ako $HTTP_SESSION_VARS či nutnosť session_register() ale použijeme klasický spôsob $_SESSION.Pre vytvorenie jednoduchého SESSION to môžeme urobiť napríklad takto (na začiatku skriptu je session_start())

  $_SESSION['premenna'] = 12345;Týmto vytvoríme premennú relácie s hodnotou 12345. Premenná relácie bude platná pokým:

• Nevyprší doba platnosti podľa nastavenia servera na ktorom stránka bežíNeukončíme reláciu manuálne keď ju už nebudeme potrebovať (napríklad odhlásenie užívateľa)
• Zničenie SESSION: Doba platnosti SESSION býva často dlhšia ako je na prácu s reláciou nutné a preto si ukážeme ako ju ukončíme manuálne. Keď vieme, že už SESSION nepotrebujeme použijeme na odstránenie premennej funkciu unset(), napríklad:unset($_SESSION['premenna']);Následne by sme mali použiť funkciu session_destroy() ktorá úplne odstráni ID relácie a tým aj celú reláciu zo servera.

  session_destroy();

Testovanie existencie SESSION

Pri práci so SESSION budete skôr či neskôr potrebovať overiť existenciu relácie (napríklad overenie či užívateľ je prihlásený). Na overenie existencie premennej SESSION môžeme použiť funkcie isset() alebo empty().

if(isset($_SESSION['premenna']))
echo'existuje session';
else echo'neexistuje session';

if(!empty($_SESSION['premenna']))
echo'existuje session';
else echo'neexistuje session';

Konkrétny príklad funkčnosti

Teraz si ukážeme konkrétny príklad ako pracovať s reláciami. Vytvoríme si tri php súbory na ktorých si demonštrujeme vytvorenie, zobrazenie a odstránenie SESSION.

V súbore stranka1.php vytvoríme reláciu spolu s odkazom na ďalší súbor kde SESSION znova zobrazíme.

 session_start(); //zahájime session
//vytvoríme session
$_SESSION['moje_session'] = 'Toto je moje SESSION';

//odkaz na ďalší súbor
echo'<a href="stranka2.php">stranka2.php</a>'; V tomto súbore zobrazíme už vytvorené SESSION a v súbore stranka3.php ho zobrazíme a zničíme kde uvidíme, že už nebude ďalej existovať.

 session_start(); //zahájime session
//zobrazíme session
echo'Moje SESSION obsahuje text: '.$_SESSION['moje_session'];

//odkaz na ďalší súbor
echo'<a href="stranka3.php">stranka3.php</a>'; V súbore stranka3.php SESSION zobrazíme, zničíme a pokúsime sa ho znova zobraziť aj keď už nebude existovať.

 session_start(); //zahájime session
//zobrazíme session
echo'Moje SESSION obsahuje text: '.$_SESSION['moje_session'];

//zničíme session
unset($_SESSION['moje_session']);
session_destroy();
/* session už neexistuje a to si môže me ukázať ak ho dáme zobraziť SESSION TU UŽ NEEXISTUJE! */

echo'Moje SESSION obsahuje text: '.$_SESSION['moje_session']; V tomto článku sme si ukázali základy práce so SESSION. Treba si ale uvedomiť, že aj keď sú SESSION ukladané na serveri treba dbať na bezpečnosť a preto NIKDY nepoužívajte ako identifikátor relácie alebo jeho hodnotu svoj nick či prípadne heslo (pri overovaní totožnosti užívateľa). Ak ho musíte použiť tak určite v zaheshovanej podobe ktorá bz pri nejakom odcudzení do rúk hackera nepodávala žiadnu informáciu ktorú by hacker mohol zneužiť.

Podobné články

• 31. Január 2007 -- Bezpečnosť údajov zadaných užívateľom v PHP
• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 23. Január 2009 -- Ako vytvoriť vlastný validátor pre Zend Framework: overenie hesiel
• 3. Január 2009 -- Seagate FreeAgent Desk, zálohovanie a ochrana dát v pohode

Pri prevádzke dynamických internetových stránok existujú rôzne bezpečnostné hrozby od SQL injection, cez XSS... Tento článok by Vám mal pomôcť ako a na čo si dať pozor pri dátach prichádzajúcich od užívateľa.

• Vždy predtým ako nejaké údaje uložíte do databázy, prežente ich funkciou addslashes(). Tá potlačí význam niektorých špeciálnych znakov ktoré by mohli spôsobiť problémy. Pri získavaní údajov z databázy musíte potom použiť funkciu stripslashes() ktorá odstráni spätné lomítka a údaje budú v pôvodnom stave.
• V súbore PHP.INI existujú direktívy magic_quotes_gpc a magic_quotes_runtime. Magic_quotes_gpc je funkcia magických úvodzoviek ktorá všetkým údajom prichádzajúcim z GET, POST a COOKIEs automaticky vkladá spätné lomítka. Pri tejto direktíve nieje na škodu vytvoriť si vlastnú funkciu add_slashes() ktorá by nazávisle na tom, či je magic_quotes_gpc zapnuté alebo nie.Môžeme ju urobiť pomocou jednoduchého ternárneho operátora:

function gpc_addslashes($str)
{
//funkcia zistí, či je magic_quotes_gpc zapnuté alebo nie
//a podľa toho aplikuje na reťazec addsleshes() alebo nie
return (get_magic_quotes_gpc() ? $str : addslashes($str));
} 

• Niekedy potrebujeme zobrazovať v php aj časti HTML kódu ktorý sa môže vykonať a spôsobiť problémy. Jednoduchým riešením je funkcia strip_tags() ktorá umožňuje automatické odstránenie všetkých tagov. Má aj nepovinný parameter v ktorom môžeme zapísať povelené tagy. Týmto zabránime prípadnému útočníkovi zadávať scripty ktoré by sa mohli vykonať a smerovať naspäť do prehliadača.
• Ak chceme zobrazovať HTML kód ale nechceme aby sa vykonal môžeme použiť funkciu htmlspecialchars() ktorá pretvorí znaky na neškodné HTML entity. Napríklad znak < by premenila na <
• Pokiaľ nejaké údaje dávame funkciám system() alebo exec() mali by sme použiť funkciu escapeshellcmd(). Touto funkciou potlačíme význam všetkých metaznakov a tým zabránime spúšťaniu akýchkoľvek príkazov.
• Ak pracujete s číselnými hodnotami (napríklad SQL dotaz prijímajúci číselnú hodnotu z URL) mali by sme hodnotu testovať pomocou funkcie intval(). Táto funkcia skúša či hodnota sa dá premeniť na číslo, ak to nebude číselná hodnota vráti 0, dobrá funkcia pri ochrane pred SQL injection.

Toto boli základné pravidlá bezpečnosti ktorých by ste sa mali držať aby ste riziko minimalizovali a vyhli sa tak najväčším chybám.

Podobné články

• 14. Február 2007 -- Základy SESSION relácií v PHP
• 21. Marec 2010 -- Zend Framework: validátor voľnej domény
• 18. Február 2009 -- Zend Framework po lopate: Použitie View Helperu
• 23. Január 2009 -- Ako vytvoriť vlastný validátor pre Zend Framework: overenie hesiel
• 3. Január 2009 -- Seagate FreeAgent Desk, zálohovanie a ochrana dát v pohode

Čo je to SQL injection?

SQL injection je hackerská metóda ktorá využíva nedostatky (chyby programátora) v kontrole vstupných dát k tomu aby mohol hacker podstrčiť namiesto očakávaných informácií vlastné a prebrať tak kontrolu nad databázou nad rámec svojich práv. Tým prebraním kontroly je myslená úplná kontrola nad databázou kde hacker môže databázu kopírovať, mazať, pridávaťľubovoľné údaje alebo kradnúť dôležité informácie.

Kontrola vstupu

Kontrola vstupu býva často kameňom úrazu mnohých programátorov. Platí pravidlo: "Neverte údajom od užívateľa!". A práve toto je zdrojom najčastejších útokov a problémov. K problémom s SQL injection nastáva vtedy keď sa nestaráme poriadne (alebo vôbec) o informácie ktoré má obdržať náš SQL dotay z adresy URL. Napríklad: Script očakáva číslo ale vy mu pošlete písmeno, v prípade že script nevie na túto situáciu pružne reagovať zobrazí chybovú hlášku ktorá môže byť znakom, že niečo nieje v poriadku.

Ako na to?

Pozrite sa na nasledujúcu (vymyslenú) adresu:
http://www.adresa.sk/clanky.php?id=1
Na tejto adrese sa nachádza súbor clanky.php ktorý podľa hodnoty (čísla) v premennej ID zobrazuje konkrétne články.

Ako odtestovať SQL injection?

V prvom rade skúste manipulovať s hodnotou premennej ID v parametri adresy URL, napríklad:
http://www.adresa.sk/clanky.php?id=2
http://www.adresa.sk/clanky.php?id=3
http://www.adresa.sk/clanky.php?id=4
Ak články s takýmto ID existujú a sú dostupné mali by sa nám zobraziť. To nieje nič zvláštne ale teraz skúsime ako si script poradí keď dostane nečíselné (neočakávané) parametre. Na príkladovaj adrese skúste zadať namiesto čísla nečíselnú hodnotu prípadne ukončiť dotaz úvodzovkou, napríklad:
http://www.adresa.sk/clanky.php?id=xxx
http://www.adresa.sk/clanky.php?id='
V prípade, že script nemá ošetrený vstup a chybové hlásenia mala by sa zobraziť varovná správa. Pre hackera to môže byť dobré znamenie že na stránke sa dá prevádzkovať SQL injection (pre dotyčný web je to však zlá správa).

Teraz skúsime konkrétny spôsob ako pomocou SQL injection vypísať všetky dostupné články, zápis a tva adresy by vyzeral nejak takto:
http://www.adresa.sk/clanky.php?id=1 or 1=1
V prehliadači sa medzery premenia na %20 a adresa bude vyzerať nejak takto:
http://www.adresa.sk/clanky.php?id=1%20or%201=1
Ak SQL injection funguje tak by sa mali vypísať úplne všetky dostupné články. V dotaye sa nasledujúci zápis prejaví napríklad ako:
SELECT * FROM moje_clanky WHERE id_clanku = ID OR 1=1
Toto bude mať za následok vypísanie všetkých dostupných článkov pretože nech už bola hodnota ID akákoľvek podmienka 1=1 bola splnená. Zápis OR 1=1 je tzv. večná pravda ktorou si môžete odtestovať SQL injection v praxi. V prípade, že večná pravda funguje tak dotyčná stránka má "dosť veľký problém" a je len otázkou času kedy to objaví niekto kto vie čo s tým. Možnosti SQL injection sa neobmedzujú len na vypisovanie všetkých článkov, vy totiž môžete databázu ľubovoľne upravovať, kopírovať, mazať prípadne kradnúť dôležité informácie.

O ďalších možnostiach SQL injection sa dočítate niekedy v ďalšom pokračovaní článku.

Podobné články

• 14. Marec 2008 -- PHP5 a MySQL5 na localhoste? S Wampserverom nič ľahšie…