Forum PHP.pl

witam, mam pytanie, ponieważ przejrzałem tematy odnośnie include, było jak używać itd, ale nie znalazłem odpowiedzi na moje...

chciałbym możliwie jak najbardziej oddzielić warstwę html od php - dlatego czy wskazane jest include'owanie pliku np. 'deklaracja.php' czy tam 'deklaracja.html'

[HTML] pobierz, plaintext 
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
		<html xmlns="http://www.w3.org/1999/xhtml" lang="pl" xml:lang="pl">
[HTML] pobierz, plaintext 

potem po kolei head, menu - stałe fragmenty strony...

czy też lepiej umieszczać deklarację na każdej stronie?

Zgodnie z zasadą DRY - nie powtarzaj się, powinieneś załączać te elementy poprzez partiale/pliki które 'inkludujesz'.

Czyli: elementy powtarzające się ładujesz za pomocą include (menu, listy, doctype).

Ten post edytował qrooel 19.12.2011, 10:16:39

dzięki, teraz jestem pewien że zrobiłem to dobrze (IMG:style_emoticons/default/smile.gif)

jeszcze jedna rzecz, bo wyczytałem że samo:

[PHP] pobierz, plaintext 
include 'deklaracja.php';
[PHP] pobierz, plaintext 

jest niebezpieczne, lepiej coś takiego:

[PHP] pobierz, plaintext 
include($_GET['deklaracja.php']);
//lub
include('./'.$_GET['deklaracja.php']);
//lub
if(file_exist('katalog_ktory_znajduje_sie_na_moim_serwerze/'.$_GET['deklaracja'].'.php'))
{
	include 'katalog_ktory_znajduje_sie_na_moim_serwerze/'.$_GET['deklaracja'].'.php';
}
[PHP] pobierz, plaintext 

jak to z tym jest?

W jakim sensie niebezpieczne?

Include, któremu damy link do pliku, którego nie ma zwróci warning - można się zabezpieczyć poprzez file_exists tak jak podałeś.

Ale zupełnie nie kumam tego podejścia $_GET['deklaracja.php'] - rozwiń to - bo mi się wydaje, że wrzucanie wprost w include jakiegolwiek GET'a jest nie ciekawym pomysłem...

EDIT:
Aby nie stosować niepotrzebnie file_exists proponuje nie przesyłać wprost do skryptu nazwy pliku jaki ma dołączyć.

Użyj do tego bazy lub jakiejś tablicy w PHP na przykład:

wywołujesz plik: strona.php?s=123

w php masz:

[PHP] pobierz, plaintext 
$strony = array(
    ...,
    122 => 'newsy.php',
    123 => 'strona.php',
    ...
)
 
if(isset($_GET['s']) && isset($strony[$_GET['s']]))
{
       include $strony[$_GET['s']];
}
else
{
      include '404.php';
}
[PHP] pobierz, plaintext 

i tak dalej (IMG:style_emoticons/default/wink.gif)

Ten post edytował Sephirus 19.12.2011, 11:22:12

[PHP] pobierz, plaintext 
include 'deklaracja.php';
[PHP] pobierz, plaintext 

jest najbezpieczniejszym zastosowaniem include. Pakowanie w to jakichkolwiek zmiennych (a już zwłaszcza $_GET) zmniejsza bezpieczeństwo - w przypadku $_GET wręcz krytycznie - oczywiście chyba, że zastosujesz kod Sephirusa.

Ten post edytował vee 19.12.2011, 11:30:49

czyli z tego wynika/z tego rozumiem że:

[PHP] pobierz, plaintext 
include 'deklaracja.php';
[PHP] pobierz, plaintext 

nie ma nic wspólnego z przesyłaniem żądania w trybie GET?
i dlatego jest bezpieczne...

dokładnie chodzi mi o ten wątek bo szczerze trochę mi pomieszali i nie wiem
Temat: Bezpieczenstwo skryptow PHP

Sephirus,
czym jest 's' w kodzie?

Ten post edytował dzanesko 19.12.2011, 11:43:30

No przecież podał ci przyklad:

czyli:
strona.php?s=123

to boolean który sprawdza czy 123 to 'strona.php' ?

strona.php?s=123 to link a nie zaden boolean
http://twojadomena.pl/strona.php?s=123

czyli w include piszę:

[PHP] pobierz, plaintext 
include 'strona z tablicy równa 123';
[PHP] pobierz, plaintext 

?

Ten post edytował dzanesko 19.12.2011, 11:57:30

Ten adres ktoś wpisuje w przeglądarce twojastrona.pl/index.php?s=123

s określa która strona ma się załadować - tutaj ta o numerze 123

Dzięki temu najprostszemu rozwiązaniu masz kontrole nad tym czy dana strona istnieje i możesz ją dołączyć do pliku bez utraty wydajności i korzystania z file_exists

Sory chłopaki - poddaje się :/ nie mam dzisiaj zupełnie cierpliwości (IMG:style_emoticons/default/sad.gif)

no teraz jasne (IMG:style_emoticons/default/smile.gif)
zmyliła mnie ta strona.php...
dzięki