[PHP]Mój pierwszy skrypt, proszę o sugestie Opcje

[robert-s]

No dobra, dzisiaj zacząłem nauke PHP i udało mi się po całym dniu wypocić jeden skrypt. Mógłby ktoś mnie zmiażdżyć i wytknąć wszystkie błędy, żebym nie popełniał ich na przyszłość? Generalnie robi to co chcę, czyli odczytuje, wysyła i zapisuje komentarze do pliku csv, jednak może coś da się zrobić w zgrabniejszy sposób? Mam jedną stronę na CMS nieobsługującym komentarzy i chcę skrypt wstawić na jedną podstronę tylko, żeby user mógł sobie wyrazić opinię.

[PHP] pobierz, plaintext 
<?php
 
$wczytaj = fopen("komentarze.csv", "r");	
while ($tablica = fgetcsv($wczytaj, 1000, ","))
{
echo "<div id='data'>$tablica[0]</div>";
echo "<div id='imie'>$tablica[1] pisze:</div>";
echo "<div id='tresc'>$tablica[2]</div>";
}
fclose ($wczytaj);		
?>
 
<form id="commentform" method="post" action="wyslij.php">
 
<div>
<label for="podpis">Podpis</label>
<input id="podpis" type="text" name="podpis">
</div>
 
<div>
<label for="komentarz">Komentarz</label>
<textarea id="komentarz" type="text" name="komentarz"></textarea>
</div>
 
<div>
<input id="przycisk" type="submit" value="Opublikuj komentarz" name="przycisk">
</div>
 
</form>
[PHP] pobierz, plaintext 

[PHP] pobierz, plaintext 
<?php
 
$podpis = $_POST['podpis'];
$komentarz = $_POST['komentarz'];
 
echo "$podpis";
echo "$komentarz";
echo date('j.m.Y');
 
$czas = date('j.m.Y');
 
$list = array($czas, $podpis, $komentarz);
 
$wczytaj = fopen('komentarze.csv', 'a');
 
fputcsv($wczytaj, $list);
 
fclose($wczytaj);
?>
[PHP] pobierz, plaintext 

Teraz planuję jeszcze dorobić małe zabezpieczenie w postaci pytania i zliczanie znaków. Gdy będzie mniej niż ileś, komentarz się nie zapisze. Aha. I powrót na poprzednią stronę po wysłaniu. Dałoby radę dać jakąś podpowiedż jakie funkcje mi w tym pomogą?

Ten post edytował robert-s 24.05.2012, 23:45:12

[ethann]

zliczanie znaków

strlen

powrót na poprzednią stronę

header
np.

[PHP] pobierz, plaintext 
header("Location: /index.php"); // przejście na określoną stronę
header("Location: ".$_SERVER['HTTP_REFERER']); // przejście na stronę z której został użytkownik przekierowany
[PHP] pobierz, plaintext 

Proponuję także zabezpieczyć się przed XSS oraz w jakiś sposób zabezpieczyć kod przed niechcianymi znakami. W tym przypadku będą to przecinki, czyli znaki oddzielające.
zabezpieczyć się przed XSS:
przykładowo skorzystać z funkcji htmlspecialchars.

zabezpieczyć kod przed niechcianymi znakami:
proponuję zamienić przecinki [,] na html'owy ich odpowiednik [,]. W tym celu możesz skorzystać z funkcji preg_replace.
np.

[PHP] pobierz, plaintext 
preg_replace("@,@", "& #44;", $komentarz); // bez spacji między &, a #.
[PHP] pobierz, plaintext 

delimiter w funkcji fgetcsv, jest defaultowo przecinkiem, więc ten argument jest zbędny.

[PHP] pobierz, plaintext 
fgetcsv($wczytaj, 1000, ",") -> fgetcsv($wczytaj, 1000)
[PHP] pobierz, plaintext 

#edit
Dodałem spację między &, a # ze względu na parser w komentarzu - automatycznie zamieniał na przecinek.

Odnośnie samego skryptu sprawdzającego proponuję także upewnić się, że dane w ogóle zostały podane! Zakładając, że znasz warunki pokażę fragment kodu.

[PHP] pobierz, plaintext 
if(isset($_POST['podpis'], $_POST['komentarz'])) {
$podpis = $_POST['podpis'];
$komentarz = $_POST['komentarz'];
[...]
}
else echo 'Komentarz nie został wysłany.';
[PHP] pobierz, plaintext 

Zabezpieczy to bezpośrednie wejście na stronę wyslij.php bez wysłania formularza (bez warunku, odwiedzenie owej strony zakończy się dodaniem pustego wpisu).

Ten post edytował ethann 24.05.2012, 22:23:42

[robert-s]

Dzięki wielkie. Już uzupełniam skrypt.

Ten post edytował robert-s 24.05.2012, 23:07:41

[Crozin]

1. Kod wstawiaj w BBCode PHP: [ php ] ... [ / php ], nie cytaty.
2. Jeżeli jako drugi argument fgetcsv ustawiony na 1000, to wypadałoby albo upewnić się przy dodawaniu nowego wpisu, że jego łączna długość w pliku nie przekroczy tych 1000 znaków, albo ustawić ten argument za zero by funkcja zawsze odczytywała cały wiersz.
3. Nigdy nie używaj jakiś magicznych, nic nie znaczących stałych w kodzie (patrz: $tablica[0], $tablica[1], $tablica[2]). W pętli wyświetlającej dane, od razu przypisz sobie poszczególne elementy tablicy do normalnych zmiennych (list).

CSV to fatalny format do przechowywania komentarzy. Znacznie lepszym rozwiązaniem byłoby wykorzystanie np. XML-a, który nie będzie miał problemów, gdy ktoś wrzuci w treść komentarza przecinek (znak separatora) albo nową linię.

[robert-s]

Kod trochę pozmieniałem już. Odnośnie zabezpieczenia przed atakami XSS. Czy jest różnica między miejscem użycia funkcji htmlspecialchars.

Przy odczytywaniu z pliku CSV w celu wyświetlenia komentarzy na stronie:

[PHP] pobierz, plaintext 
echo '<div id="tresc">' . htmlspecialchars($tkomenty[2], ENT_QUOTES, 'UTF-8') . '</div>';
[PHP] pobierz, plaintext 

Przy użyciu $_POST w drugim pliku (wyslij.php):

[PHP] pobierz, plaintext 
$podpis = htmlspecialchars($_POST['komentarz'], ENT_QUOTES, 'UTF-8');
[PHP] pobierz, plaintext 

Testowałem oba i wynik dla usera jest ostatecznie taki sam, czyli np. jesli spróbuje wstawić pogrubienie to wyświetli się < b> treść < /b >. Z wszczepienia javascript też nici chyba. Troche inaczej zapisuje w pliku CSV. W pierwszym przypadku < b > w drugim & l t ; b & g t ;

Wolałbym używać opcji pierwszej, bo dla drugiej funkcja strlen daje wyższe wartosci. Jednak czy to jest bezpieczne? Może mi ktoś wszczepić kod PHP i wywołać jakieś niemiłe rzeczy?

Ten post edytował robert-s 25.05.2012, 16:40:03

[Crozin]

Powinieneś używać tylko i wyłącznie pierwszego wariantu. Znaki <>&"' są niebezpieczne dopiero w dokumencie HTML.

[amii]

Dodam jeszcze taką ciekawostkę kiedy używasz:

[PHP] pobierz, plaintext 
echo "$podpis";
echo "$komentarz";
[PHP] pobierz, plaintext 

masz niewielki narzut spowodowany tym, że parser odczytuje kod z cudzysłowów i szuka znaków specjalnych i zmiennych w środku. Lepiej w takim przypadku dać bez cudzysłowów.

Dla czystych zmiennych tekstowych lepsze są apostrofy. Cudzysłów jest dobry (wygodniejszy) kiedy w środku masz zmienne lub znaki specjalne i tekst.

[PHP] pobierz, plaintext 
echo "Jakiś tam sobie tekst w zmiennej $zmienna a tu jeszcze znak specjalny \n";
[PHP] pobierz, plaintext 

Ten post edytował amii 25.05.2012, 19:44:08