LINUXSOFT.cz Přeskoč levou lištu

ARCHIV



   

> PHP (51) - Přenos dat mezi stránkami

Mějme dva PHP skripty. Jak sdílet data mezi nimi? Budete to potřebovat!

1.10.2004 15:00 | Petr Zajíc | Články autora | přečteno 63710×

V předchozím díle seriálu jsme si ukázali, že není až takový problém pomocí PHP vyžádat po uživateli ověřující informace. Jejich výhoda je ta, že se automaticky posílají na každou další stránku, takže ověření uživatele stačí provést jenom jednou. Často budeme ale podobný mechanismus potřebovat nejen pro přenos přihlašovacích údajů, ale i pro jiné proměnné.

Předpokládejme malou aplikaci, do níž se uživatel již přihlásil. Dejme tomu, že uvnitř aplikace budeme potřebovat mezi jednotlivými stránkami zároveň přenášet nějaký identifikátor uživatele, čas přihlášení a třebas počet stránek, které navštívil po svém přihlášení. Pravděpodobně nejjednodušší bude zamontovat tyto informace do URL stránky a neustále je mezi sebou posílat. Asi takto:

<?
if(isset($_GET["id"])) $id=$_GET["id"]; else $id=1;
if(isset(
$_GET["cas"])) $cas=$_GET["cas"]; else $cas=time();
if(isset(
$_GET["stranek"])) $stranek=++$_GET["stranek"]; else $stranek=1;

echo
"<h1>Vítejte na naší stránce</h1>";
echo
"<p>Vaše údaje jsou:";
echo
"<BR>ID: ".$id;
echo
"<BR>Čas přihlášení: ".date("j.n.Y G:i:s",$cas);
echo
"<BR>Počet navštívených stránek po přihlášení: ".$stranek;

echo
"<p><a href=\"51_druha.php?id=".$id."&amp;cas=".$cas."&stranek=".$stranek."\">Na další stránku aplikace</a>";
?>

Spustit skript

Z celého příkladu bude pravděpodobně nejdůležitější poslední řádek. Všimněte si, že musíme sestavit odkaz včetně toho, že do něj uvedeme všechny proměnné, aby nám to mohlo fungovat.

V praxi má tento přístup jednu podstatnou výhodu - bude to pracovat úplně všude. A zejména pro hodně malé projekty to bude pravděpodobně stačit. Abychom byli upřímní, má tento přístup ke sdílení informací mezi stránkami rovněž poměrně podstatné nevýhody. Asi tou největší je fakt, že údaje přenášené mezi stránkami se dají jednoduše přečíst a změnit. Jsou totiž vidět v prohlížeči v řádku s adresou.

Jak to napravit

Pakliže byste trvali na přenosu dat pomocí parametrů, ale zároveň byste chtěli zabránit jejich přečtení, mám pro Vás dobrou zprávu - jde to. Nic Vám totiž nebrání přenášet parametry nějak zašifrovaně. Jedna dobrá metoda spočívá v použití funkcí knihovny Mcrypt, pokud ji instalace PHP na vašem serveru podporuje. Jelikož jí instalace PHP na vašem serveru z různých důvodů podporovat nemusí, můžete zkusit najít nějaký hotový PHP skript na šifrování (já hledal třeba tady).

Lehce zmodifikovaný kód našeho původního skriptu by tedy byl:

<?
// odkaz na šifrovací třídu...
$sifra= new Crypt_Xtea;

// po přijetí data dekódujeme...
if(isset($_GET["id"])) $id=$sifra->decrypt(base64_decode(urldecode($_GET["id"])),"klíč"); else $id=1;
if(isset(
$_GET["cas"])) $cas=$sifra->decrypt(base64_decode(urldecode($_GET["cas"])),"klíč"); else $cas=time();
if(isset(
$_GET["stranek"])) $stranek=$sifra->decrypt(base64_decode(urldecode($_GET["stranek"])),"klíč")+1; else $stranek=1;

// tady by byla práce s aplikací

// před přenesením zakódujeme...
$id=urlencode(base64_encode($sifra->encrypt((string)$id, "klíč")));
$cas=urlencode(base64_encode($sifra->encrypt((string)$cas, "klíč")));
$stranek=urlencode(base64_encode($sifra->encrypt((string)$stranek, "klíč")));

echo
"<p><a href=\"51_druha_s.php?id=".$id."&amp;cas=".$cas."&stranek=".$stranek."\">Na nějakou jinou stránku</a>";
?>

Ukázat celý skript | Spustit skript

Vidíme, že skript obsahuje několik nových věcí. Tak především je to použití třídy Crypt_Xtea ze stejnojmenného balíčku staženého z repository PEAR. Tato třída se stará o vlastní šifrování dat pomocí klíče, který jsme vtipně nazvali "klíč".

Pozn.: Malá odbočka - pokud si vzpomínáte na díl seriálu o objektovém programování, tohle je přesně příklad demonstrující použití objektů. Vůbec nemusím vědět, jak funguje třída Crypt_Xtea vevnitř, stačí mi, když si v dokumentaci najdu co umí a jak to použít. V produkčním nasazení byste pochopitelně každý kód měli řádně testovat. O kódu přejatém to platí dvojnásob.

Potom je tu použita funkce base64_encode. Ta už neprovádí žádné šifrování dat, pouze je kóduje. To je nutné, protože výstup z šifrovacího algoritmu skoro určitě bude obsahovat binární data a ta bychom jako parametr příkazové řádky nepřenesli. Konečně, urlencode zase zajistí, že do parametru se nedostanou znaky, které tam nemají co dělat.

Při načítání stránky data zpracujeme pomocí odpovídajících funkcí urldecode, base64_decode a decrypt, pochopitelně v tomto pořadí. Tak tedy můžeme mezi stránkami přenášet informace zašifrovaně. Což řeší problém s jejich odhalením nebo modifikací. Ovšem, neřeší to jiný vážný problém: Někdo by mohl zkopírovat celou adresu skriptu včetně parametrů a mohl by se na naši stránku dostat.

To se nějak obecně řešit nedá a je to asi největší úskalí tohoto způsobu práce mezi stránkami. Pokud byste ovšem používali šifrování, můžete si pohrát s myšlenkou dynamické změny klíče (třeba v závislosti na čase serveru). Pokud bychom například použili čas přihlášení jako klíč (či jako podklad pro jeho generování), pravděpodobně bychom měli problém vyřešen.

Výhody a nevýhody

Předávání informací důležitých pro běh skriptu jako parametry URL má tedy následující výhody:

  • Bude to fungovat úplně všude
  • Trochu se to dá šifrovat
a následující nevýhody:
  • Je to náročné na psaní kódu
  • Hrozí neoprávněný přístup
  • Nehodí se to pro mnoho dat ani pro dlouhá data
  • Je to relativně pomalé

Příště si ukážeme, jak obdobný problém řešit jiným způsobem. Budou to cookies.

Verze pro tisk

pridej.cz

 

DISKUZE

detail & 2.10.2004 12:24 David Stefka
Ampresand 2.10.2004 13:17 Petr Zajíc
session 4.10.2004 11:09 kai
L Re: session 5.10.2004 13:08 Petr Zajíc
Předání souboru (ne jen odkazu) mezi 2 skripty 25.4.2006 14:20 Radin Černý
přenos speciálních znaků 24.7.2006 10:14 Daniel Kohout
L Re: přenos speciálních znaků 24.7.2006 12:15 Aleš Hakl
  L Re: přenos speciálních znaků 24.7.2006 14:22 Daniel Kohout
Nepoužívat urldecode() na $_GET 8.4.2007 13:20 Miroslav Vavruska




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

28.11.2018 23:56 /František Kučera
Prosincový sraz spolku OpenAlt se koná ve středu 5.12.2018 od 16:00 na adrese Zikova 1903/4, Praha 6. Tentokrát navštívíme organizaci CESNET. Na programu jsou dvě přednášky: Distribuované úložiště Ceph (Michal Strnad) a Plně šifrovaný disk na moderním systému (Ondřej Caletka). Následně se přesuneme do některé z nedalekých restaurací, kde budeme pokračovat v diskusi.
Komentářů: 1

12.11.2018 21:28 /Redakce Linuxsoft.cz
22. listopadu 2018 se koná v Praze na Karlově náměstí již pátý ročník konference s tématem Datová centra pro business, která nabídne odpovědi na aktuální a často řešené otázky: Jaké jsou aktuální trendy v oblasti datových center a jak je optimálně využít pro vlastní prospěch? Jak si zajistit odpovídající služby datových center? Podle jakých kritérií vybírat dodavatele služeb? Jak volit vhodné součásti infrastruktury při budování či rozšiřování vlastního datového centra? Jak efektivně datové centrum spravovat? Jak co nejlépe eliminovat možná rizika? apod. Příznivci LinuxSoftu mohou při registraci uplatnit kód LIN350, který jim přinese zvýhodněné vstupné s 50% slevou.
Přidat komentář

6.11.2018 2:04 /František Kučera
Říjnový pražský sraz spolku OpenAlt se koná v listopadu – již tento čtvrtek – 8. 11. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma umění a technologie, IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

13.12.2018 10:57 / Jan Mareš
Re: zavináč

2.12.2018 23:56 / František Kučera
Sraz

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:04 / Jan Ober
Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:00 / Jan Ober
Re: Gimp

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2021) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze