Mějme dva PHP skripty. Jak sdílet data mezi nimi? Budete to potřebovat!
1.10.2004 15:00 | Petr Zajíc | přečteno 66334×
V předchozím díle seriálu jsme si ukázali, že není až takový problém pomocí PHP vyžádat po uživateli ověřující informace. Jejich výhoda je ta, že se automaticky posílají na každou další stránku, takže ověření uživatele stačí provést jenom jednou. Často budeme ale podobný mechanismus potřebovat nejen pro přenos přihlašovacích údajů, ale i pro jiné proměnné.
Předpokládejme malou aplikaci, do níž se uživatel již přihlásil. Dejme tomu, že uvnitř aplikace budeme potřebovat mezi jednotlivými stránkami zároveň přenášet nějaký identifikátor uživatele, čas přihlášení a třebas počet stránek, které navštívil po svém přihlášení. Pravděpodobně nejjednodušší bude zamontovat tyto informace do URL stránky a neustále je mezi sebou posílat. Asi takto:
<?
if(isset($_GET["id"])) $id=$_GET["id"]; else $id=1;
if(isset($_GET["cas"])) $cas=$_GET["cas"]; else $cas=time();
if(isset($_GET["stranek"])) $stranek=++$_GET["stranek"]; else $stranek=1;
echo "<h1>Vítejte na naší
stránce</h1>";
echo "<p>Vaše údaje jsou:";
echo "<BR>ID: ".$id;
echo "<BR>Čas přihlášení: ".date("j.n.Y G:i:s",$cas);
echo "<BR>Počet navštívených
stránek po přihlášení: ".$stranek;
echo "<p><a
href=\"51_druha.php?id=".$id."&cas=".$cas."&stranek=".$stranek."\">Na další stránku aplikace</a>";
?>
Z celého příkladu bude pravděpodobně nejdůležitější poslední řádek.
Všimněte si, že musíme sestavit odkaz včetně toho, že do něj uvedeme
všechny proměnné, aby nám to mohlo fungovat.
V praxi má tento přístup jednu podstatnou výhodu - bude to pracovat
úplně všude. A zejména pro hodně malé projekty to bude pravděpodobně
stačit. Abychom byli upřímní, má tento přístup ke sdílení informací
mezi stránkami rovněž poměrně podstatné nevýhody. Asi tou největší je
fakt, že údaje přenášené mezi stránkami se dají jednoduše přečíst a
změnit. Jsou totiž vidět v prohlížeči v řádku s adresou.
Pakliže byste trvali na přenosu dat pomocí parametrů, ale zároveň
byste chtěli zabránit jejich přečtení, mám pro Vás dobrou zprávu - jde
to. Nic Vám totiž nebrání přenášet parametry nějak zašifrovaně. Jedna
dobrá metoda spočívá v použití funkcí knihovny Mcrypt, pokud ji
instalace PHP na vašem serveru podporuje. Jelikož jí instalace PHP na
vašem serveru z různých důvodů podporovat nemusí, můžete zkusit najít
nějaký hotový PHP skript na šifrování (já hledal třeba tady).
Lehce zmodifikovaný kód našeho původního skriptu by tedy byl:
<?
// odkaz na šifrovací třídu...
$sifra= new Crypt_Xtea;
// po přijetí data dekódujeme...
if(isset($_GET["id"])) $id=$sifra->decrypt(base64_decode(urldecode($_GET["id"])),"klíč"); else $id=1;
if(isset($_GET["cas"])) $cas=$sifra->decrypt(base64_decode(urldecode($_GET["cas"])),"klíč"); else $cas=time();
if(isset($_GET["stranek"])) $stranek=$sifra->decrypt(base64_decode(urldecode($_GET["stranek"])),"klíč")+1; else $stranek=1;
// tady by byla práce s aplikací
// před přenesením zakódujeme...
$id=urlencode(base64_encode($sifra->encrypt((string)$id, "klíč")));
$cas=urlencode(base64_encode($sifra->encrypt((string)$cas, "klíč")));
$stranek=urlencode(base64_encode($sifra->encrypt((string)$stranek, "klíč")));
echo "<p><a
href=\"51_druha_s.php?id=".$id."&cas=".$cas."&stranek=".$stranek."\">Na nějakou jinou stránku</a>";
?>
Ukázat celý skript | Spustit skript
Vidíme, že skript obsahuje několik nových věcí. Tak především je to
použití třídy Crypt_Xtea ze stejnojmenného balíčku staženého z
repository PEAR.
Tato třída se stará o vlastní šifrování dat pomocí klíče, který jsme
vtipně nazvali "klíč".
Pozn.: Malá odbočka - pokud si
vzpomínáte na díl seriálu o objektovém
programování, tohle je přesně příklad demonstrující použití
objektů. Vůbec nemusím vědět, jak funguje třída Crypt_Xtea vevnitř,
stačí mi, když si v dokumentaci
najdu co umí a jak to použít. V produkčním nasazení byste pochopitelně
každý kód měli řádně testovat. O kódu přejatém to platí dvojnásob.
Potom je tu použita funkce base64_encode.
Ta už neprovádí žádné
šifrování dat, pouze je kóduje. To je nutné, protože výstup z
šifrovacího algoritmu skoro určitě bude obsahovat binární data a ta
bychom jako parametr příkazové řádky nepřenesli. Konečně, urlencode
zase zajistí, že do parametru se nedostanou znaky, které tam nemají co
dělat.
Při načítání stránky data zpracujeme pomocí odpovídajících funkcí
urldecode,
base64_decode
a decrypt, pochopitelně v tomto pořadí. Tak
tedy můžeme mezi stránkami přenášet informace zašifrovaně. Což řeší
problém s jejich odhalením nebo modifikací. Ovšem, neřeší to jiný vážný
problém: Někdo by mohl zkopírovat celou adresu skriptu včetně parametrů
a mohl by se na naši stránku dostat.
To se nějak obecně řešit nedá a je to asi největší úskalí tohoto
způsobu práce mezi stránkami. Pokud byste ovšem používali šifrování,
můžete si pohrát s myšlenkou dynamické změny klíče (třeba v závislosti
na čase serveru). Pokud bychom například použili čas přihlášení jako
klíč (či jako podklad pro jeho generování), pravděpodobně bychom měli
problém vyřešen.
Předávání informací důležitých pro běh skriptu jako parametry URL má
tedy následující výhody:
Příště si ukážeme, jak obdobný problém řešit jiným způsobem. Budou to cookies.