http://diskuse.jakpsatweb.cz/ O tvorbě, údržbě a zlepšování internetových stránek cs Copyright 2004, Yuhů + Doublethink dusan@pc-slany.cz dusan@pc-slany.cz David1256: SQL injection se dá použít jen skrz nějaký input Není pravda, co takhle třeba URL adresa? Obecně platí, že je potřeba ošetřit všechny vstupy, které posíláš do databáze viz. Jan Tvrdík SQL injection je založeno na vsunutí vlastního SQL dotazu. Takže pokud bych podstrčil nějaký řetězec s apostrofem a dopsal libovolný SQL dotaz, tak bych mohl např: vymazat všechny články a ve své podstatě si dělat s databází co se mi zlíbí, což by se ti určitě nelíbilo. vloženo: 2013-01-19 10:21:29 http://diskuse.jakpsatweb.cz/?action=vthread&forum=2&topic=145246#post-951639 ShiraNai7: Aha, tak to mě nenapadlo - díky :) vloženo: 2013-01-02 20:15:29 http://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=144458#post-948967 ShiraNai7: Samozřejmě, avšak při nastavení error_handleru si vyhazuji např: ErrorException a všechno to nakonec zpracuji až v nějaké funkci, kterou si nastavím pomocí exception_handleru ... vloženo: 2013-01-02 19:15:04 http://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=144458#post-948956 pap: Mě osobně by to taky rozčilovalo. Pokud už se rozhodnu na té stránce zůstat, tak si budu chtít přečíst další informace a ne znovu dokola číst to samé, což mě vlastně vůbec nezajímá. A pokud se rozhodnu nakonec využít těchto služeb, tak položku "kdo jsem/kontakt" stejně navštívím ... vloženo: 2013-01-02 12:45:41 http://diskuse.jakpsatweb.cz/?action=vthread&forum=13&topic=144852#post-948880 jenikkozak: Podle mě to není řešení vypnout vypisování poznámek do stránky. Změní se konfigurace nebo server a hrozí riziko, že se poznámky zase vrátí a napáchají škodu třeba v designu stránky. V tom případě je už lepší převést E_NOTICE na nějaký typ Exception a při zachycení např: logovat (přece jenom Notice by neměl nijak zásadně ovlivnit funkčnost stránky). vloženo: 2013-01-02 11:53:00 http://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=144458#post-948869 Přepsaná kapitola: https://docs.google.com/document/d/16qTMdkUdf6333gJSSEhlOFFEDD7E1ZK3qTFDcIpPm2g/edit Doplňující obrázek: https://docs.google.com/open?id=0B2lryZYJa3mOUHVzWnM2aWctcGM Odkaz na vedlejší kapitolu jsem ještě nevyplňoval, protože jsem si nebyl jistý URL adresou (absolutní nemá cenu vyplňovat). Potom je třeba doplnit ještě kotvy u jednotlivých kapitol a ve zdrojovém kódu označit prefixy červeně (JUSH jsem nijak nezkoumal, tak jen doufám, že je to možné). Jinak smím se zeptat, jak to vypadá s redakčním systémem? Bylo by vhodnější to vkládat přímo tam, než to tahat tady. vloženo: 2013-01-02 11:30:35 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139923&page=1#post-948864 Jan Tvrdík: Přepisuji ji do BB kódu, pokusím se to co nejdříve dodělat. vloženo: 2012-12-29 16:33:25 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139923&page=1#post-948458 Joker: Dobře, podívám se na to a přeformátuji. Zechy: Osobně bych vytvořil u těch databází jinou strukturu, protože mi tam docela dost informací chybí (např: smazaní dat z databáze, ale i spojování tabulek, databázové modely - relační/objektový ...) vloženo: 2012-12-03 09:46:39 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139465&page=2#post-945039 Mě zbývají dopsat logické a bitové operátory a snad bych tu kapitolu někdy během příštího týdne zveřejnil. O Vánocích bych se pak pokusil napsat ještě jednu kapitolu, ale nechci nic slibovat, protože záleží kolik budu mít času. Jinak jestli se můžu zeptat, Someone píše kapitolu o polích, nebo ji převzal někdo jiný? vloženo: 2012-12-02 15:56:29 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139465&page=2#post-944959 Holda: Tohle ti fungovat nebude a když ano, tak stejně najdeš později problém jinde, doporučuji nejdříve začít studovat SQL dotazy a spojení PHP s databázemi. Nejprve musíš zjistit, co vlastně chceš porovnat. Jelikož neznám strukturu tabulky "texty", tak ti moc neporadím, ale rozhodně nemůžeš porovnávat ID (což je zpravidla číselná hodnota) s $_GET['page'], což je zase (soudě dle tvého úvodního odkazu) textová hodnota. vloženo: 2012-09-02 21:43:15 http://diskuse.jakpsatweb.cz/?action=vthread&forum=28&topic=141700#post-930668 apofis: OOP jsem tam napsal z důvodu kontextu constructu. nevidím důvod proč bych to tam nemohl mít napsáno. To by mě zajímalo, jaké by bylo praktické užití této třídy. Vždyť když napíšeš tohle do konstruktoru, tak při každé nové instanci se spustí ošetření? Není tak trochu zbytečné tvořit instance X tříd, které obsahují jenom nějaký konstruktor? Navíc ošetřuješ, jak již bylo uvedené výše špatné - dotazy do databáze, které obsahují vstup od uživatele je třeba ošetřit mysql_real_escape_string (pozor také na direktivu magic_quotes_gpc) a výstup na stránku (při výpisu) htmlspecialchars. Osobně bych na ošetření vytvořil dvě metody na ošetření vstupu a výstupu a umístil je do nějaké vhodné třídy, rozhodně ne do konstruktoru. vloženo: 2012-08-22 10:58:15 http://diskuse.jakpsatweb.cz/?action=vthread&forum=9&topic=141372#post-928740 Alphard: možná zmínit i to, že existují konvence, abych všichni tvořili podobně O konvencích se píše nahoře, takže je na začátečníkovi, jestli se jich bude držet nebo ne. Na ten počet znaků u var_dump pozor Napsal jsem menší upozornění a odkázal na PHP manuál, myslím že to bude stačit. Pojmenování float je dost nepříjemné U datového typu float jsem zmínil také double, takže by to snad nikoho nemělo zmást. Ostatní věci jsem opravil. vloženo: 2012-08-04 12:26:54 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139923&page=1#post-926092 Joker: Mám ještě argumenty doplnit do základů syntaxe? Možná by to bylo vhodné, ať má začátečník přehled, s čím vším se může v následujících kapitolách setkat. Akorát by to chtělo vymyslet nějaký jednoduchý příklad, nejlépe s jedním argumentem, napadají mě třeba jednoduché funkce pro práci s textem např: strlen. Ostatní a složitější bych nechal do kapitoly funkce. Jen otázka, odkaz „dynamicky typovaný jazyk“ má vést na co? Předpokládám něco ve smyslu Wikipedie, kde bude nějak jednoduše vysvětlená typová kontrola a tedy rozdíl mezi dynamickým a statickým typovaným jazykem. - U otázky číslo 4, proč není správně i odpověď a)? To jsem asi omylem přehlédl, opravím. Ostatní věci jsem doplnil do předchozího dokumentu: https://docs.google.com/document/d/1LwfBPMPtvEsWm80sh1fYvHIEb_83zkcZaHpl4O4e59E/edit vloženo: 2012-08-04 08:40:45 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139923&page=1#post-926073 Omlouvám se za prodlevu, bohužel jsem neměl v poslední době moc času, teď už by to mělo být lepší. Začal jsem psát kapitolu o operátorech a přidávám další verzi proměnných. Překopíroval jsem obsah do Google documents, snad vám to bude vyhovovat více. https://docs.google.com/document/d/1LwfBPMPtvEsWm80sh1fYvHIEb_83zkcZaHpl4O4e59E/edit vloženo: 2012-08-03 15:06:01 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139923&page=1#post-925958 Keeehi: navíc tam nikde nemáš napsané to, proč je to číslo v osmičkové soustavě (že za to může ta nula) Tohle už někdo zmiňoval, pracuje se na doplnění. Ten příklad se 47 je povedený, zkusím ho tam vměstnat. var_dump také není funkce ale stejně jako isset nebo empty klíčové slovo var_dump je funkce, i když není přímo typická - This function displays structured information about one or more expressions that includes its type and value. Do unsetu bych dal jen jednu proměnnou. Já jsem dal dvě záměrně, aby bylo jasné, že lze najednou zrušit více proměnných. Jan Tvrdík: Já ano. Jedná se o tebou vymyšlené spojení Kupodivu jsem to spojení sám nevymyslel, ale někde jsem ho vyčetl. Zkusím ho tedy nahradit něčím rozumnějším ... To je irelevantní. V další verzi PHP se tak třeba budou inicializovat konstanty. V rámci další verze je to klidně možné, ale v této nikoliv. Abychom se ale dohodli - zkusím napsat, že $ je součástí syntaxe u PHP a je to. Problém je, že ty názvy proměnných jsou špatné. Je pravdou, že by to chtělo nějaké reálnější příklady, nejlépe přímo z praxe, zkusím něco vymyslet. Kdyby měl někdo nějaké návrhy tak sem s nimi. Zmínil bych to až v kapitole u řetězců Dobře, minulé to tam nebylo, teď ano, tak to znovu vyhoďme a kdo se ozve, že to tam chce dostane za uši :) Funkce isset totiž vrátí false i v případě, že proměnná existuje, ale její hodnota je NULL O tomhle vím, stejně jako, že empty považuje proměnnou s hodnotou 0 za prázdnou. Jak to ale vysvětlit nějak jednoduše začátečníkovi? vloženo: 2012-07-12 19:47:28 http://diskuse.jakpsatweb.cz/?action=vthread&forum=36&topic=139923&page=1#post-922236