UPDATED ARTICLE
Un website (website de prezentare, blog, forum, magazin online, portal) este alcatuit din doua parti:
- frontend – este partea publica a unui website unde se gaseste tot continutul lui (text, imagini, video, animatii Flash). Frontend-ul este destinat vizitatorilor. De exemplu, frontend-ul unui website de prezentare al unei firme este constituit din toate paginile sale cum ar fi pagina “Despre” (unde firma prezinta istoricul firmei si profilul de activitate al firmei), pagina “Portofoliu” (unde firma prezinta lucrarile realizate si proiectele in curs de realizare), pagina “Galerie” (unde vizitatorul gaseste o galerie de imagini cu produsele firmei), pagina “Contact” (unde vizitatorul poate intra in legatura cu detinatorii firmei) s.a.m.d..
- backend – este partea cu acces restrictionat din spatele websiteului pe care numai un numar limitat de utilizatori o pot accesa pe baza unei autentificari. Din backend se administreaza continutul de pe frontend si chiar se pot face modificari asupra designului, structurii si functionalitatii frontend-ului in sine. Spre deosebire de frontend, backend-ul nu trebuie sa fie indexat de motoarele de cautare (Google, Yahoo, Bing, Ask.com etc.). Ca sa evitam acest lucru vom scrie in fisierul robots.txt din folderul radacina a websiteului urmatoarele linii:
User-agent: * Disallow: /backend/
In loc de termenul backend se mai folosesc termenii sectiune de administrare si CMS (de la Content Managment System – in limba engleza, Sistem de gestionare a continutului). Cand intalnim unul din acesti termeni trebuie sa stim ca se face referire la unul si acelasi lucru.
Ca sa restrictionam accesul la sectiunea de administrare trebuie mai intai sa inregistram toti utilizatorii intr-o baza de date. Apoi cream un formular de autentificare a utilizatorilor sectiunii de administrare si un tabel, numit ai_authentication_logs, in care vom inregistra loguri despre autentificarile facute.
$q = "CREATE TABLE IF NOT EXISTS ai_authentication_logs( authentication_log_id INT UNSIGNED NOT NULL AUTO_INCREMENT, username VARCHAR(30) NOT NULL, password VARCHAR(40) NOT NULL, server_authentication_date DATETIME NOT NULL, client_authentication_date DATETIME NOT NULL, ip VARCHAR(30) NOT NULL, browser_os VARCHAR(255) NOT NULL, screen_resolution VARCHAR(15) NOT NULL, status VARCHAR(10) NOT NULL, PRIMARY KEY(authentication_log_id))"; mysql_query($q) or die(mysql_error());
UPDATED ARTICLE
Prin ce se caracterizeaza acest formular de inregistrare a utilizatorilor?
- scriptul PHP isi creeaza singur tabelul in care va stoca utilizatorii daca acesta nu exista in baza de date
- toate datele introduse sunt validate server-side
- scriptul verifica in baza de date daca exista deja numele de utilizator ales si adresa de email a noului utilizator
- fiecare mesaj de eroare este personalizat pentru fiecare eroare in parte
- campurile care contin date invalide sunt evidentiate
- scriptul pastreaza datele introduse in campurile formularului atunci cand detecteaza o eroare
- designul formularului este creat EXCLUSIV din CSS
- de protectie antispam nu avem nevoie deoarece se presupune ca formularul de inregistrare se afla in interiorul unei sectiuni de administrare
UPDATED ARTICLE
Prin ce se caracterizeaza acest formular de comentarii?
- scriptul PHP isi creeaza singur tabelul in care va stoca comentariile daca acesta nu exista in baza de date (deci mai putina munca in phpmyadmin)
- protectie antispam 100% datorita sistemului CAPTCHA integrat
- toate datele introduse sunt validate server-side (nu bag mana in foc caci inca nu sunt doxa de programare, dar cred ca este securizat destul ca sa nu execute vreun rau-voitor o injectie sql)
- evidentierea campurilor care contin date invalide
- pastrarea datelor in campuri atunci cand scriptul detecteaza o eroare
- background-ul fiecarui comentariu alterneaza de la un comentariu la altul pentru o mai buna vizualizare a comentariilor
- designul formularului este creat EXCLUSIV din CSS
UPDATED ARTICLE
Prin ce se caracterizeaza acest formular de contact?
- toate datele sunt validate server-side
- protectie antispam 100% datorita sistemului CAPTCHA integrat in formular
- fiecare mesaj de eroare este personalizat pentru fiecare eroare in parte si apare deasupra campului unde a fost detectata eroarea
- campul unde exista o eroare este evidentiat
- datele completate raman in campurile formularului atunci cand se detecteaza o eroare
- skin creat EXCLUSIV din CSS
- formularul poate fi usor de integrat intr-un website
- skinul emailului trimis poate fi formatat prin folosirea tagurilor HTML si a regulilor CSS aplicate inline
- in subsolul emailului trimis exista cateva informatii despre expeditor
Scriptul PHP de mai jos extrage extensia unui fisier. Este util atunci cand dezvoltam formulare de upload sau cand citim dinamic un folder de fisiere. De exemplu, un folder de imagini folosit de o galerie de imagini sau un folder de fonturi folosit de catre un CAPTCHA.
<?php
function extract_extension($file) {
if (strrpos($file,'.')) {
$extension = strtolower(substr($file,strrpos($file,'.'),100));
} else {
$extension = '';
}
return($extension);
}
//example
echo extract_extension("header.inc.php");//output-ul va fi .php
?>
Cand cream un formular de upload pentru adaugare de poze trebuie sa nu permitem utilizatorilor sa urce pe serverul nostru de hosting orice vor ei. Trebuie sa fim siguri ca ceea ce utilizatorul urca este intr-adevar o poza si nu altceva. Ca de exemplu un executabil malitios sau pagini scam care evident ar face rau serverului, website-ului si imaginii noastre. Deci, de fiecare data cand scriem cod server-side trebuie sa plecam de la premisa ca ceea ce utilizatorul introduce nu e de incredere. De aceea, trebuie sa adaugam toate restrictiile necesare.
De obicei, o galerie de imagini se hraneste dinamic cu imaginile unui folder de pe serverul de hosting. Acest script PHP ne ajuta sa fim siguri ca galeria citeste din folder doar imaginile.
Articole Vechi
Parteneri
