Forum PHP.pl

Jak w temacie. Poszukuję aktualnych informacji na temat skryptów potrafiących przeprowadzić szyfrowanie AES po stronie klienta - przeglądarki. Może ktoś ma jakieś doświadczenia? Jest tego sporo a ja szukam czegoś sprawdzonego i rozwijanego. Jeśli będzie łatwe w implementacji to jeszcze lepiej.

Witam,

planuję stworzyć stronę internetową zawierającą część dostępną tylko dla zalogowanych użytkowników. Gotowe rozwiązania mam przedstawione w książce PHP i MySQL Tworzenie stron WWW. Vademecum profesjonalisty. Mam wydanie 3 z 2005 roku. W zwiazku z tym mam pytanie na ile rozwiązania tam przedstawione (oparte na sesjach) są aktualne i bezpiecznie. Czy coś się zmieniło? A może ktoś może polecić bardziej aktualną publikację zawierającą opis takich rozwiązań? Albo najlepiej przykład kodu dostępnego w internecie?

Śmiga, że aż miło. Dziękuję bardzo, jestem wdzięczny.
Mam jednak jeszcze ostatnie pytanie.
Kod wygląda mniej więcej tak:

[HTML] pobierz, plaintext 
<head>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<title> - jsFiddle demo</title>
<script type='text/javascript' src='//code.jquery.com/jquery-2.1.0.js'></script>
<link rel="stylesheet" type="text/css" href="/css/result-light.css">
<style type='text/css'>
    .tekst{display:none}
</style>
<script type='text/javascript'>//<![CDATA[ 
$(window).load(function(){
$('input.radio').on('change', function(){
    var value = $(this).val();
    if(value=='nie')
        $(this).parent('.container').find('div.tekst').show();
    else
        $(this).parent('.container').find('div.tekst').hide();
})
});//]]>  
</script>
</head>
<body>
  Wybór 1:<br />
<form action="index.php" method="post" enctype="multipart/form-data">
<div class="container">
    <input type="radio" class="radio" name="wybor1" value="tak" checked="checked"/>Opis wyboru na tak
<br />
<input type="radio" class="radio" name="wybor1" value="nie" />Opis wyboru nie
<div class="tekst">tutaj jakiś tekst</div>
    </div>
    <br><br>
  Wybór 2:<br />
        <div class="container">
    <input type="radio" class="radio" name="wybor2" value="tak" checked="checked"/>Opis wyboru na tak
<br />
<input type="radio" class="radio" name="wybor2" value="nie" />Opis wyboru nie
<div class="tekst">tutaj jakiś tekst</div>
    </div>
</form>
<div id="suma">0</div>
</body>
[HTML] pobierz, plaintext 

Jak zrobić by w przypadku ustawienia "nie" przy polu "wybor1" do sumy (na końcu) dodawana była liczba np. 5, zaś przy wyborze "nie" przy polu "wybór2" np. liczba 10? Chodzi mi o to, by oprócz pokazywania się diva było wykonywane działanie i podmieniany był wynik w divie "suma".
Czy coś takiego ma sens:

[HTML] pobierz, plaintext 
<script type='text/javascript'>//<![CDATA[ 
$(window).load(function(){
$('input.radio').on('change', function(){
    var value = $(this).val();
    var wybor1 = 5;
    var wybor2 = 10;
    if(value=='nie')
        $(this).parent('.container').find('div.tekst').show();
    else
        $(this).parent('.container').find('div.tekst').hide();
})
});//]]>  
</script>
[HTML] pobierz, plaintext 

Hmm... zadeklarowałem dwie wartości i utknąłem. W php bym sobie poradził ale JS to czarna magia. Powinno być pewnie coś takiego:
if(value=='nie')
$(this).parent('.container').find('div.tekst').show();
tu dodatkowy warunek if nazwa pola = wybor1 to wtedy bierzemy wartość z diva "suma", zwiększamy o wybor1 i wklejamy na miejsce;
tu dodatkowy warunek if nazwa pola = wybor2 to wtedy bierzemy wartość z diva "suma", zwiększamy o wybor2 i wklejamy na miejsce;
else
$(this).parent('.container').find('div.tekst').hide();
})
Nie wiem jak to zrealizować w praktyce.

Turson: Dzięki, o coś takiego mi właśnie chodziło. A da się zrobić tak, żeby dla kilku miejsc było tak samo (żeby dla każdej wersji nie pisać oddzielnego JS)?
Jest taki kod:

[HTML] pobierz, plaintext 
$('input[name="wybor1"]').on('change', function(){
    var value = $(this).val();
    if(value=='nie')
        $('div#tekst1').show();
    else
        $('div#tekst1').hide();
})
[HTML] pobierz, plaintext 

A żeby tym samym kodem zapłatwić jeszcze wybor2 (i powiazany z nim tekst2), wybor3 itd?

Mam mniej więcej taki kod:

[HTML] pobierz, plaintext 
<head>
<meta http-equiv="Content-type" content="text/html; charset=UTF-8" />
<link rel="stylesheet" type="text/css" href="style.css" />
<script src="//ajax.googleapis.com/ajax/libs/jquery/1.11.1/jquery.min.js"></script>
<link rel="stylesheet" href="//ajax.googleapis.com/ajax/libs/jqueryui/1.10.4/themes/smoothness/jquery-ui.css" />
<script src="//ajax.googleapis.com/ajax/libs/jqueryui/1.10.4/jquery-ui.min.js"></script>
</head>
<body>
Wybór 1:<br />
<form action="index.php" method="post" enctype="multipart/form-data">
<input type="radio" name="wybor1" value="tak" checked="checked"/>Opis wyboru na tak
<br />
<input type="radio" name="wybor1" value="nie" />Opis wyboru nie
<div id="tekst1" class="ukryte">tutaj jakiś tekst</div>
</form>
</body>
[HTML] pobierz, plaintext 

Teraz moje pytanie, bo nie jestem sobie w stanie poradzić. Standardowo div o id=tekst1 jest niewidoczny. Jak zrobić by pojawiał sie tylko w przypadku wyboru inputa opisanego "nie" (tzn. chodzi mi albo o usuniecie klasy "ukryte" albo o jej zmiane na klasę powiedzmy "widoczne")? Próbowałem znaleźć coś w dokumentacji jquery, ale niestety nie radzę sobie z tym najlepiej.

Nie zależy mi na wprowadzeniu dostępu na hasło lecz o całkowitym zablokowaniu możliwości zdalnego pobierania plików pdf (i innych) znajdujących się na serwerze w określonym katalogu. Dostęp do nich ma być możliwy jedynie dla skryptu na serwerze.

Witam,

zamierzam umieścić na serwerze, w podkatalogu serwisu, pliki pdf, do których nie powinno być bezpośredniego dostępu przez przeglądarkę. Jedyny dostęp powiien być przez plik php z jego poziomu (plik pobiera i przekazuje dalej pdf'a).
Czy deny from all w htaccess załatwia sprawę całkowicie, czy niekoniecznie?

Witam,

Tworzę nową stronę. Ma to być pierwszy projekt napisany obiektowo. Teorię znam, praktycznie też klasy działają ale mam inne pytanie.
Jak właściwie zorganizować relacje produkt - lista produktów?
Klasa "produkt" pobiera dane z bazy danych, tworzy obiekt itd. Stworzenie egzemplarza obiektu wiąże się z zapytaniem do bazy danych, które pobiera dane produktu. Jak teraz stworzyć listę produktów? Stworzyć oddzielną klasę "listaproduktow", która pobierze kilkanaście / kilkadziesiąt rekordów z bazy i dla każdego stworzy egzemplarz klasy "produkt"? Wiązałoby się to z kilkudziesięcioma zapytaniami do bazy (dla każdego produktu). Czy też w klasie "listaproduktow" stworzyć metodę, która powieli część klasy "produkt" i zwróci tablicę z danymi tych wszystkich produktów? Byłbym wdzięczny za podpowiedź.

Witam,

Przymierzam się do stworzenia kolejnej strony - mini portalu. Oczywiście całość ma być oparta o bazę MySQL. W związku z tym moje pytanie. Jaka jest sensowna, rozwijana klasa do obsługi bazy danych MySQL? Czego warto użyć?

Witam,

Wygrzebałem stary kod strony pisany strukturalnie, ciurkiem jak kto woli. Nie jestem orłem w programowaniu obiektowym, ale czas się nauczyć
Mam różne funkcje pobierające dane z bazy i wyświetlające na stronie. Np. pobierzKsiazke(id), która pobiera dane książki z bazy. Do tego są funkcje edytujące dane książki, kasujące książkę, pobierające i wyświetlające listy książek itp.
Jak to teraz ugryźć z obiektowego punktu widzenia?
Jak powinna mniej więcej wyglądać poprawna klasa i co w niej umieścić? Czy zrobić klasę Ksiazka zawierającą metody pobierzDane, edytujDane, usunKsiazke, czy jakoś inaczej? Co zrobić z listą książek, która pobiera dane wielu książek i je wyświetla? Czy dodać do do klasy Ksiazka, czy zrobić nową klasę np. ListaKsiazek?
Nie chodzi mi o gotowy kod, tylko o sposób myślenia, jak najlepiej to zorganizować.

Ale w dalszym ciągu nie był problemem brak /?$ na końcu, lecz błędna (nieodpowiednia do sytuacji) zawartość nawiasów - szczególnie pierwszego
Pozdrawiam i dziękuję serdecznie za szersze objaśnienie problemu. Niestety htaccess, mod_rewrite i wyrażenia regularne do dla mnie czarna magia.

A sam sprawdź pierwszy post. Jak widzisz w obu przypadkach występuje /?$ a jednak w pierwszym nie działało tak, jak tego oczekiwałem. Tak więc Twoja teoria pada i nie chodzi o znak zapytania na końcu, lecz o coś innego (slash'e w środku)

Dzięki wielkie! Działa.
A możesz mi wyjaśnić, dlaczego Twoja wersja działa a moja nie chciała?
Zgodnie z dokumentacją wychodzi na to, że w nawiasach, jako argumenty może być wszystko poza slashem, tak?

Witam,

Chciałem zmienić format linków na stronie. Mam taką regułę:
RewriteRule ^osoba/(.*)/(.*)/?$ index.php?modul=Ranking&file=osoba&osoba=$1 [NC,L]

Działa mi dla takiego czegoś:
domena.com/2324/imie-i-nazwisko
Natomiast po wpisaniu
domena.com/2324/imie-i-nazwisko/
zachowuje się jakby nie był przekazywany nr osoby (tu 2324)

Chyba się nie zrozumieliśmy. Wiem jak wyciąć cały html, to nie stanowi praktycznie żadnego problemu. Strip_tags też nie jest rewelacyjne, bo dozwolonych tagów nie filtruje pod kątem niepożądanych atrybutów i możliwe jest wsadzenie wszystkich onMouseOver, onclick itd.
Funkcje z komentarza do strip_tags faktycznie ciekawe, przejrzę je, choć i tak raczej zdecyduję się na htmlpurifier

Niestety Twoja odpowiedź nijak ma się do mojego pytania. Wątek dotyczy SQL injection a ja nigdzie nie napisałem, że chcę cokolwiek robić z bazą danych a tym bardziej cokolwiek do niej dodawać. O XSS są tam ze 3 posty, z czego w jednym z nich jest napisane o strip_tags, co odpada z tego względu, że u mnie musi pozostać kod HTML. Pytałem o klasy czy funkcje do oczyszczania kodu z niektórych znaczników HTML i o opinie na temat wskazanej przeze mnie klasy.

Znalazłem HTML Purifier. Co prawda straszna krowa ale może będzie sprawnie działała.

Witam, szukam jakiejś sensownej gotowej klasy do filtrowania danych z formularza. Dane mają zawierać niektóre znaczniki HTML. Najlepiej byłoby żeby klasa filtrowała po tagach i usuwała niedozwolone atrybuty.
Znalazłem coś takiego: PHP Input Filter ale może znacie coś lepszego?

Chyba jednak zdecyduję się na tinyMCE. Podają gotowe rozwiązanie do filtrowania danych: http://wiki.moxiecode.com/index.php/TinyMCE:Security przy zastosowaniu klasy PHP Input Filter Class tu. Ktoś zna tą klasę?

Dam sobie spokój z bbcode. Czyli nie zostaje mi nic innego, jak w strip_tags wymienić kilkanaście dopuszczalnych tagów?

Od strony użytkownika. Chodzi mi o wstawianie obrazków, tworzenie list, tabel, odsyłaczy itp

Witam,

Zamierzam wstawić na swojej stronie edytor CKEditor. Wszystkie pola tekstowe formularzy przepuszczam przez funkcję strip_tags a potem mysql_real_escape_string. Co zrobić z danymi otrzymanymi z CKEditor? Usuwając tagi stracę to, do czego używam tego edytora czyli właśnie tagi. Jak jednak zabezpieczyć otrzymane dane? Nie usuwać żadnych tagów?

Chyba ma sens, bo czasem dane tekstowe wyświetlane są w formularzu do edycji. Przed ich wyswietleniem przechodzą przez funkcję htmlentities()
Za manualem:

[PHP] pobierz, plaintext 
<?php
$str = "A 'quote' is <b>bold</b>";
 
// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str);
 
// Outputs: A 'quote' is &lt;b&gt;bold&lt;/b&gt;
echo htmlentities($str, ENT_QUOTES);
?>
[PHP] pobierz, plaintext 

Bez

[PHP] pobierz, plaintext 
$wartosc = html_entity_decode($wartosc, ENT_QUOTES, 'UTF-8');
[PHP] pobierz, plaintext 

Część znaków z // Outputs: A 'quote' is <b>bold</b>
zostałaby ponownie przetworzona przez mysql_real_escape_string();, czyż nie?

Witam,

Poprawiam, stary, odkopany gdzieś skrypt i dotarłem do funkcji, która ma przetwarzać tekst przed dodaniem go do bazy MySQL. W związku z tym moje pytanie. Czy takie cudo ma sens:

[PHP] pobierz, plaintext 
function przygotujinputtekst($wartosc) {
    $wartosc = trim($wartosc);
    $wartosc = html_entity_decode($wartosc, ENT_QUOTES, 'UTF-8');
    $wartosc = strip_tags($wartosc);
    if (!get_magic_quotes_gpc()) {
    $wartosc = mysql_real_escape_string($wartosc);
    } else {
    $wartosc = stripslashes($wartosc);
    $wartosc = mysql_real_escape_string($wartosc);
    }
    return $wartosc;
}
[PHP] pobierz, plaintext 

Wszystko jasne, tylko że w przypadku gdy jest jeden rekord w wynik ma być $h['nr'], $h[''organizacja'], a gdy jest więcej ma być $h['nr']['nr'], $h['nr']['organizacja'] itd. Nie wiem jak dodać ten jeden dodatkowy indeks w przypadku gdy jest więcej rekordów. Kombinuję ze zmiennymi nazwami zmiennych, tak żeby w przypadku kilku rekordów zamiast $h podstawiało mi $h['nr'] ale mi nie wychodzi.

Oczywiście, tak można zrobić. Tylko przy 50 polach kod trochę się rozstrasta a przy zastosowaniu zmiennej zmiennej, której nie udaje mi się stworzyć tylko raz bym musiał to wpisywać a zatem kod byłby o połowę któtszy.