des

tik un tā tač kautkā jāindeficē lietotājs. ar get parametru? nav skaisti

12544[/snapback]

Nu kaut kad sen atpakalj es sataisiiju PL-SQL aplikaaciju, kas usernami un passwordu staipa shurpu turpu no vienas formas uz otru caur hidden laukiem... Tiesa, tas bija maaciibu vajadziibaam :)

A kaapeec Tev vispaar izmantot sesiju? Var tachu MySQL tabulaas saglabaat, cik taalu ir tikts, kas un kaa ir atbildeets, utt....

tā viš i, laikam

/me joprojām varāk uzticās php 4x un apache 1.3.x versijām, nero 5x (kaut gan šķiet, ka drīz arī 6tā engīnis būs ok) un vēl dažu softu "vecākām" versijām

12489[/snapback]

Jaa, paarbaudiitaas veertiibaas IR speeks! :rolleyes:

Par php5 - viena nerazha ir taada, ka daudzas lietas, kas php4 uz E_ALL iet bez jebkaadas pljurksteeshanas, php5 tomeer meedz izmest visaadus nepatiikamus pazinjojumus. Ehh... backward compatibility. :ph34r:

Taapat arii apache2 vismaz uz win2k kastes uzvedas nestabilaak par 1.3.x :unsure:

Nu vajag uztaisiit vai nu

$id = (int)$id;

//exec the sqlz...

vai arii

if (is_int($id)) {

//exec the sqlz...

}

respektiivi, vajag ruupiigi paarbaudiit, vai caur post/get/cookies mees sanjemam tieshaam to, ko buutu jaasanjem :)

siikaak skat:

http://www.php.net/manual/en/security.data...l-injection.php

ar <meta http-equiv="Content-Type" content="text/html; charset=windows-1257"> nepietiek?

11655[/snapback]

Nepietiek!

Vismaz ieksh apache 2.0.48 man windows-1257 bija config failaa ekskluziivi ar rocinju jaapievieno, lai browseris ariii peec refresh atteelotu lv burtus korekti.

Uz apache 1.3.27 man liekaas, ka viss iet uz defaulto konfiguraaciju.

Saakumaa shii probleema man izraisiija reaalo WTF emociju guuzmu :)

Negribu saakt ticiibu / flame karus (ir jau bijushi ne vien vienu reizi :) ), bet, manupraat, ar templateem ljoti aizrauties nevajag.

 

Proti mineeto piemeeru

 

<html>
<title>{title}</title>
<body>
{teksts}
</body>
</html>

 

Var aizstaat ar

<html>
<title><? echo $title; ?></title>
<body>
<? echo $teksts; ?>
</body>
</html>

 

Kas principaa arii ir ir php koda nodaliishana no html .. Pie kam ja aizstaaj echo ar <? =$title ?> tad veeljovairaak (vizuaali).

 

Tai pashaa laikaa otrais variants stradaas krietni aatraak jo nav jaaielasa papildus templates fails nav jaameklee kur tajaa ir kaut kaadi ieprieksh predefineeti tagi utt.

Vieniigaa jeedziigaa vieta vareetu buut wysiwyg editoros, jo <? ?> ir tagi liidz ar to preteeji {} tas netiek paraadiits. Nekorekti darbojoties var ieviesties sintakses kljuuda kas template gadijumaa var tikt noveersta.

12481[/snapback]

:) TIk un taa palieku pie taa, ka templates ir veerts lietot, ja:

1) Aatrdarbiiba nav pats galvenais projekta sekmiibas kriteerijs (nu tieshaam, po tachu par to 50-200% aatrdarbiibas sabremzeejumu, ko izdara laba templeishu sisteema)

2) Projekts ir pietiekoshi kompliceets / dinamisks

3) Tam jaabuut viegli customizeejamam. (Lasaamiiba {TEKSTS} ieksh HTML juuklja tomeer ir izlasaams vieglaak nekaa <? echo $teksts; ?>)

4) Templates gribam nestot vienu otraa.

Un kaut kas interesants:

http://phpsavant.com/yawiki/

Kā uztaisīt, lai lietotājs var ielādēt savu bildi, kas parādīsies un tiks izmantota lapā, bet netiks uploudota uz servera?

12458[/snapback]

Un kur ir probleema to bildi temporaari uzmest uz servera un peec tam izdzeest?

Nu es uzliku to 4.1, apskatiijos, nepatika. Turpinu lietot 4.0.16. :P Griezhas bez ne kaadaam probleemaam.

Un kā laacz darītu gadījumā, ja formā ir ap 25 elementiem? visiem taisīt $_POST['varname'] būtu pašnāvība :D bet ņemt cauri _POST masīvu arī kaut kā mānīgi  - var pagadīties lieki mainīgie (kāds mēģinās kaut ko iebāzt :P )

12449[/snapback]

nu paga... kaada starpiiba, vai Tu taisi:

foreach ($_POST as $e) {
 //do something
}

vai

foreach ($_POST['forma'] as $e) {
 //do something
}

arii otrajaa gadiijumaa kaads tachu varees iebaazt

<input type="hidden" name="forma[megahackvar]" value="nowIwillOwnUrServer">

:P

Vienmeer tachu ir jaacheko servera pusee, vai kaaads nav kaut ko iebaazis...

Un kaa ar

; Lifetime in seconds of cookie or, if 0, until browser is restarted.
session.cookie_lifetime = 0

Ieksh php.ini ???

Tas ljoti labi paliidz...

Hmm.. negribi minēt kādu piemēru, kuri ir šie "veiksmīgie projekti" šīs diskusijas (drīz jau par manu monologu taps  :unsure: ) kontekstā? Kā es to redzu - populārie un veiksmīgie ir monolīti kluči aļa šī foruma software - mēģināsi iebāzt savās includēs vai integrēt savā saitā - galus atstiepsi :) Iekopēt un darbināt nav māksla, savu headeri vai CSSu uzlikt arī, bet pamēģini teiksim kaut vai no phpBB uztaisīt Delfu komentārus (kas būtībā ir tas pats) - possible?

Lai gan var jau būt, ka es par maz esmu redzējis.

12421[/snapback]

lai no phpBB uztaisiitu Delfu komentaarus, saakumaa jaaiebrauc phpBB templeishu sisteemaa && jaauztaisa attieciigais skins. Bet... tomeer kaadas nopietnaakas izmainjas phpBB veikt jau ir problemaatiskaak - konkreeti jaapapeeta viss kods. Lai arii phpBB neuzskatu par php kodeeshanas exelentu piemeeru, galvenais, kas ir phpBB, taa ir publicitaate.

Bet vispaar sarunas jums te labas :)

Veel papildus droshiibai var juuzeru tabulaa pielikt kolonu login_attempts_count un tajaa skaitiit. Un nolokot vispaar lietotaaju, ja paaraak daudz reiz nepareizi ievada passu.

BET KAA TAD VAR AIZSARGAAT SAVUS SKRIPTUS , PIEMEERAM PAADRODOT SAVU PROJEKTU ???

 

VAI TA PARASTU PHP KODU DOT ??? TAA LAI VINI PEEC TAM PASHI TAISA TAALAAK ???

Elementaari - nedod vinjiem vispaar accessu pie skriptiem. Hosteet uz servera, kuram tikai Tev ir pieeja.

Un reaali... cik no pasuutiitaajiem ir php zinaashanas? :) Pat ja Tu vinjiem atdod skriptus, vinjiem taapat ir vajadziigs kaads, kas rubii fishku, ka vareetu taisiit taalaak (un tam atkal ir jaamaskaa nauda).

Un kaa jau tika teikts: pietiekoshi riebiiga metode ir izdzeest visus komentaarus un uztaisiit visu 1000 rindinju skriptu vienaa rindaa, piemeeram :)

Es iisti nezinu, ko Tu shajaa kontekstaa doma ar ebook, tachu manuaalji http://lv.php.net/docs un http://dev.mysql.com/doc/ ir, manupraat, vienkaarshi izcili. Tur var arii novilkt offlainaa skataamas versijas. Tie arii buutu Tevis mekleetie ebooki.

Jaa, un veel varbuut sagribeesi nokilleet to procesu, rebootot lietotaaja kompi utt :)

php ir serverside middleware!

Da panjem parocies netaa, palasi par IE eksploitiem un dari ar lietotaaja datoru, ko vien gribi.... :) :P

shitaada aizsardziiba ir triviaali uzlauzhama:

$code=gzinflate(base64_decode('BcFHkqNIAADA...uttt'));

$fp=fopen("temp.txt","w");

fwrite($fp,$code);

fclose($fp);

Un peec tam atveram temp.txt un ieguustam kodu....

panjem labaak, piemeeram, uztaisi softeli, kas izdzeesh visus enterus... un samet visu kodu vienaa rindaa.... :)

Ja nemaldos, Venoma garadarbs VenPad taadu fiichu atblasta...

Kāpēc vecas tēmas jāceļ augšā?

Ui... sorry, kaut kaa nepiefixeeju datumu :)

Jo teema bija tikai 3shaa no augshas :)

Laikam tieshaam neesmu izguleejies :)

man izmeta

Warning: Cannot modify header information - headers already sent by (output started at E:\Maajas_lapa\Zinja.php:1) in E:\Maajas_lapa\Zinja.php on line 19

Taatad zinja.php pirmajaa rindinjaa ir kaut kaads whitespeiss ieviesies.... centies vienmeer lai <?php ir pirmajaa rindinjaa un bez atstarpes no malas!

Aaa... pareizi, tur jau komentaars tiek pievienots, liidz aro to arii headerii id vajag noraadiit:

http://paste.php.lv/1314

config.inc fails:

<?php

$dbhost = "localhost";

$dbuser = "root";

$dbpass = "qwerty";

$dbname = "Artuurs";

?>

Izdzees pilniibaa visus speisus, enterus, kas ir virs <?php un zem ?>

Arii whitespeiss skaitaas outputs.

Nu tad paskaties, ko dara config.inc.

Es biju domaajis, ka config.inc tikai pieshkjir parametru veertiibas.

Tas config.inc veel kaut ko drukaa?

Izvaac jebkaadu outputu no taa!

OK. Ienaak sheit cilveeki ar nekaadaam vai minimaalaam php zinaashanaam. Uzdod varbuut padumjus un gruuti saprotami formuleetus jautaajumus. Bet vai tieshaam vajag vinjus nahrenizeet srazu?

Protams, var jau piekrist, ka TOP3 postu skaits silda cilveeka ego, nu silda gan.

Neesmu kaadu laiku sekojis liidzi konkreeti Gacha postiem. Tomeer paraadiishanaas briidii atceros vinju, kaa maaciities veeloshu cilveeku. Jaa, varbuut vinjsh drusku uzvedaas kaa "paraziits" katru siikumu prasiidams sheit, bet.... Tas lai paliek uz vinja sirdsapzinjas. Vismaz cilveeks progresee.

Buutu labi dabuut kaut kaadu paraugu, sheemu peec kaadas ir pareizi kodeet. Bet shaadi uz aklo programmeet ir vienas mociibas. Nevienas graamatas normaalaa valodaa ar nav.

Paldies jau ieprieksh

Pameegjini shito

http://paste.php.lv/1313

MySql datu baazei ir jaapiekonekteejas vienreiz, pashaa saakumaa - nav jaakonekteejas atkal pirms katra jauna kverija :)

Saakumaa visiem iet gruuti, bet ja sho gruutumu salauzh, tad peec tam kad aiziet, tad aiziet :)

Tieši to pašu es gribētu teikt par tabulu veidojošo klasi - lai paredzētu visus tabulu veidus, kādus vien var ievajadzēties, tev nāksies 20 reizes izgudrot jaunu divriteni, pie tam tu tikai lieki sarežģīsi savu kodu. OOP ir izmantojams vietās, kur tas dzīvi atvieglo, nevis rada liekas problēmas.

 

Tam visam ir viens iemesls - tu nevari paredzēt un iekļaut visus formas atribūtus savā OOP kodā. Kaut vai viens piemērs - uztaisi man ar savu OOP kodu read-only text input lauku.

Nepiekritiishu. Esmu uzrakstiijis sev tabulu gjenereejoshu klasi, ar kuru var sagjenereet jebkaadu tabulu.

Par atribuutiem. Prieksh tam man html objektiem ir parametrs $attr, kuraa tad kaa masiivu mieriigi sabaazhu jebkurus taga parametrus, kuri ievajagaas.

Saapes saakas tieshi tajaa mirklii, kad pietiekoshi daudz un dinamiskus colspanus un rowspanus jaataisa bez sakariigas OOP pieejas.

Taa kaa nav nemaz taa ideja tik slikta, ja visu pietiekoshi flexibli izplaano.

Pilniibaa esmu apmierinaats :)

ja nav žēl, padalies ar kodu un izmantošanas piemēru, paskatīsimies ;)

Ok, buushu labs un noshaareeshu vienu zaru no savas laborotorijas :)

http://paste.php.lv/1308

http://paste.php.lv/1309

http://paste.php.lv/1310

http://paste.php.lv/1311

http://paste.php.lv/1312

Protams, viss jaaincludo pareizajaa kaartiibaa.

Davai, iepastee http://paste.php.lv visu to zinja.php & tad razbirjomsa :)

Pashaa augshaa tas, noziimee pirms visa outputa - pirms jebkaada echo vai pirms jebkaada ne-php (kas aarpus <?php ?>). Ja vinjsh bljaustaas, ka headers already sent, tas noziimee, ka kaut kaads outputs uz browseri tomeer jau ir noticis!