Forum PHP.pl

Mam kilka pytań odnośnie tablicy $_GET

1. Czy takie coś jest bezpieczne:

[PHP] pobierz, plaintext 
switch($_GET['page']) {
	case 'rejestracja':
		include('./includes/register.php');
	break;
	default:
		include('./includes/default.php');
	break;
}
[PHP] pobierz, plaintext 

2. Robię mini cmsa i mam w pliku index.php takie coś jak wyżej i w miejscu gdzie mam content ładuje pliki z $_GET - to dobre rozwiązanie?

3. Mam na stronie podstronę artykuły i każdy artykuł ma swoje id i po wejściu np. w index.php?page=articles&id=2 ładuję artykuł z bazy danych mysql, a zabezpieczam tak:

[PHP] pobierz, plaintext 
if ($_GET['page'] == 'articles' and is_numeric($_GET['id'])) // wyswietl artykul
[PHP] pobierz, plaintext 

jeszcze sprawdzam w bazie czy artykuł o takim ID istnieje:

[PHP] pobierz, plaintext 
if (mysql_num_rows($id) == 0) // nie istnieje
[PHP] pobierz, plaintext 

takie coś wystarczy?

Przed sql_injection jestem zabezpieczony, korzystam z pdo. Te kody wyżej to tylko przykłady

Obczaj to:
http://pear.php.net/manual/en/package.netw...er.features.php

Ten post edytował wNogachSpisz 31.07.2012, 11:04:27

nie ogarniam tego ;/

1. Tak. Zwykły switch..
2. Istnieją lepsze.
3. Rzutuj na INT id i po sprawie.
4. $id - dziwna nazwa dla zmiennej przechowującej tablice/obiekt artykułu.

1 - jest okej, ale oczywiście można zrobić to lepiej. Ogólnie do miniCMS będzie raczej okej.
2 - Źle. Oddziel logikę od prezentacji. Poczytaj o klasach szablonów. http://forum.php.pl/index.php?showtopic=201664 - tu możesz przejrzeć trochę mojego kodu, może zrozumiesz.
3 - $id = (int)$_GET['id'] - chyba lepiej będzie. Ogólnie idziesz w dobrą stronę z zabezpieczeniami.
4 - Dobre sprawdzanie.

@DOWN:
Teraz widzę jak mało wiem. ;p

Ten post edytował Evinek 31.07.2012, 12:15:38

Lepiej i szybciej. Rzutowanie jest szybsze niż funkcja is_numeric

To używasz mysql czy pdo?

Warto by było rozważyć bloki try-catch.Skorzystać z opcji bindowania parametrów:

Jeśli parametr nie będzie typu int kwerenda w bloku try sie nie wykona,spowoduje błąd i nastąpi przejście do bloku catch,gdzie będziesz mógł przekierować na inną stronę lub wyświetlić wiadomość o błędzie.

Ten post edytował Niktoś 31.07.2012, 12:17:33

Evinek, korzystam z systemu szablonów Smarty

markonix, dlaczego $id to dziwna nazwa?

Powinno być coś takiego:

[PHP] pobierz, plaintext 
$result = mysql_query($query) or die(mysql_error());
if(mysql_num_rows($result) > 0){
   $row = mysql_fetch_assoc($result);
}
[PHP] pobierz, plaintext 

Chodzi o nazewnictwo zmiennych. Musi być wiadomo o co chodzi.
ID to może być do strony, użytkownika itp.

Ten post edytował Evinek 31.07.2012, 12:24:51

a ok, tak jak pisałem to tylko przykład, u siebie mam inne nazwy, a to było pisane na szybko.

Żeby nie zakładać nowego tematu zapytam tutaj - jak pisałem korzystam z systemu szablonów i chciałbym się dowiedzieć czy dobrze robię rozbijając kod html na kilka plików, np. coś takiego:

{include file="header.tpl")
{include file="menu.tpl")
{include file="$content.tpl")
{include file="stats.php")
{include file="footer.tpl")

czy dobrze jak tak robię? czy może lepiej dać wszystko do pliku index.tpl, a tylko content zmieniać?

Przeczytaj ten temat: http://forum.php.pl/index.php?showtopic=201664
Miałem ten sam problem. Lepiej zrobić "bloki" które po prostu będziesz podmieniał w głównym szablonie. Czyli można powiedzieć, że sposób drugi.

U mnie ja mam takie coś:
Ładuje(wyświetlam) w danym pliku dany szablon ($template->display('news'), w newsie(template) mam tak zwane bloki. Gdy załaduje się news(blocki do zmiennych) to automatycznie dodaje się główny layout i dam wyświetla bloki. Jak przeczytasz mój temat to chyba zrozumiesz.