Pareiza lapas vaidošanas taktika

[Toms]

Parasti laižu visu caur vienu galveno index.php failu..

 

isset($_GET['cat']) ? $cat = $_GET['cat'] : $cat = 'main';

//...

	// require $cat file
$allowAccess = true;
	$files = array('main'); // šajā masīvā pieliek atļautos failus.
	if (in_array($cat,$files) && file_exists($cat.'.php')) {
		require($cat.'.php');
	}
	else {
		require($files[0].'.php');
	}

 

Un iekļaujamajā failā pārbaudam

 

if (!isset($allowAccess)) die('404'); // labāk pārsūtam uz 404 lapu ar header()
EDIT: // register globals logiski, ka OFF

Edited March 20, 2007 by Toms

[andrisp]

1) Abejādi var, bet man labāk patīk kaut kas līdzīgs pirmajam variantam. Palasi par MVC patternu.

2) Nav slikti, drīzāk labi, bet tas ir atkarībā no situācijas.

[eM^]

Starpcitu, kā citās lapās ir adrese šādā formā: http://datuve.lv/topic/6/ .

mainīgie itkā noslēpti un nav nekādi tur ?id=hwz&kkas=nekas& ??

Kā var panākt šādu rezūltātu, jo skatos, ka tas jau ir palicis stilīgi visās lapās šādi taisīt un varbūt ari tā īr drošāk?

[Toms]

Tas nevis stilīgi, bet lietotājiem un meklētājiem draudzīgāk. To panāk ar mod_rewrite (Apache)

RewriteEngine On
RewriteRule ^jaunumi http://www.adrese.lv/?cat=jaunumi [P,L]

Tas jāraksta iekš .htaccess faila..

Serveriem konfigurācija atšķiras, mazliet atšķirīgi var būt jāraksta RewriteRule..

[andrisp]

Tā fīčas saucas "url rewriting". Pameklē tepat forumā vai guuglē.

 

Nu nez vai daudz drošāk (ja nu vienīgi par drošumu uzskata to, ka nav redzami mainīgo nosaukumi ), bet tam ir citi plusi:

- smukāks un īsāks urls :)

- meklēšanas serveriem šādi urļi labāk patīkot (http://en.wikipedia.org/wiki/Rewrite_engine#User_and_search_engine_friendly_URLs)

- gan jau kautkas vēl

[eM^]

Paldies. Noderēs

[eM^]

Ienāca prātā vēlviens jautājums. Vai tas nav slikti(arī no drošības viedokļa), ka lapas *.php failam jau koda sākumā pieslēdzos MySQL datubāzei?

[andrisp]

Nē, tas tieši ir normāli, ka tu skripta sākumā vienreiz pieslēdzies datubāzei un viss. Un pat skripta biegās nav obligāti jātaisa mysql_close, jo php pats to izdara, kad skripts beidz izpildīties.

[eM^]

ok tad pie šīs metodes pieturēšos.

[eM^]

Nu atkal viens jautājums.

Vai tas nekas traks nav, ja taisu lapai forumu(tādu parastu diskusiju stūrīti) kurā postotājiem nav jāreģistrējas? Un kādas, ar aizsardzību saistītas lietas man būtu jāpielieto, ļaujot ikvienam veidot topikus un rakstīt tiem komentārus.

 

P.S.

Gribu zināt jau laicīgi, lai esmu vismaz 70% pārliecināts, ka neviens ļaundaris nenogāzīs gar zemi gan manu forumu, gan visu lapu...

[v3rb0]

skaties, lai postojot nevar ierakstit html tagus, kuri lapā pārādās kā "istie" html tagi. - htmlentities()

tāpat paskaties, lai nesanāk sql injekcijas - http://www.unixwiz.net/techtips/sql-injection.html

[eM^]

SQL injekciju ir iespējams izdarīt caur $_GET? Piemēram, ja man ir queryjs kura saturs ir: SELECT * FROM tabula WHERE id = '$_GET[id]'.

[v3rb0]

ar jebkādiem datiem, ko useris var iedabūt iekšā, ne tikai $_POST un $_GET, bet šams var mēģināt arī cepumus pielabot.

[eM^]

Nu ar cepumiem man nekāda saistība pagaidām nav paredzēta, bet $_GET iekš query jau ir izmantots. Slinkums meklet ka bija jaraksta, bet aizsardzība pirmajā vietā. :)

[andrisp]

Visus datus, ko liec iekš kverija, apstrādā ar mysql_real_escape_string. Tas pasargās no injekcijām. Vēl vari arī visus datus, kuros skaidri zini, ka nedrīkst būt ', " un %, iztīrīt no tiem pirms ievietošanas kverijā.