ACCES INTERZIS

Cum fac un formular de upload in PHP?

admin — Sat, 06 Mar 2010 19:42:21 +0000

Scriptul PHP din spatele acestui formular de upload:

rezolva problema spatiilor goale din numele imaginii
restrictioneaza numarul maxim de caractere al numelui imaginii si ce tip de caractere poate sa contina numele imaginii
permite utilizatorului sa uploadeze doar imagini (celelalte tipuri de fisiere, posibil malitioase, cum ar fi fisiere executabile, fisiere .php, fisiere .js nu pot fi urcate)
specifica ce tipuri de imagini pot fi uploadate (.jpg, .jpeg, .gif, .png)
restrictioneaza marimea maxima a imaginii
restrictioneaza latimea pe care o poate avea imaginea
restrictioneaza inaltimea pe care o poate avea imaginea
verifica daca folderul images exista pe server (daca nu exista il creaza)
verifica daca mai exista in folderul images inca o imagine cu acelasi nume
numeroteaza dinamic fiecare imagine uploadata (trebuie sa dam permisiile 0777 folderului images ca scriptul PHP sa il poata citi)
schimba numele imaginii uploadate pe server

uf-v.1.0.php

 30) {
			$error_message = 'The filename must have up to 30 characters.';
		} else {
			#3.2
			if (!preg_match('/^[a-z0-9._-]+\.[a-z]{2,4}$/i', $filename)) {
				$error_message = 'The filename isn\'t valid.';
			} else {
				/*
				Verific daca fisierul este o imagine. Content-type-ul unei imaginii este o
				valoare de genul image/jpeg, image/pjpeg, image/gif, image/png.
				*/
				#3.3
				if (!preg_match('/^image\//', $_FILES['userfile']['type'])) {
					$error_message = 'You are allowed to upload only images.';
				} else {
					/*
					Functia PHP getimagesize() ma asigura 100% ca ceea ce urca utilizatorul
					e o imagine si nimic altceva.
					*/
					#3.4
					$properties = getimagesize($_FILES['userfile']['tmp_name']);
					if ($properties == false) {
						$error_message = 'The file isn\'t an image.';
					} else {
						/*
						Specific tipurile de imagini care pot fi urcate pe server.
						*/
						$allowed_extensions = array('.jpg', '.jpeg', '.gif', '.png');

						$extension = substr($filename, strrpos($filename,'.'), 100);
						$extension = strtolower($extension);

						#3.5
						if (!in_array($extension, $allowed_extensions)) {
							$error_message = 'You aren\'t allowed to upload '.$extension.' files.';
						} else {
							/***/
							/*
							Imaginea poate avea maxim 100 kb.
							*/
							#3.6
							if (($_FILES['userfile']['size']/1024) > 100) {
								$error_message = 'The file can have up to 100 kb.';
							} else {
								/*
								Restrictionez latimea pe care imaginea o poate avea.
								*/
								#3.7
								if ($properties[0] > 100) {
									$error_message = 'The width must be up to 100px.';
								} else {
									/*
									Restrictionez inaltimea pe care imaginea o poate avea.
									*/
									#3.8
									if ($properties[1] > 100) {
										$error_message = 'The height must be up to 100px.';
									} else {
										/*
										Daca folderul "images" nu exista pe server atunci il creez.
										*/
										#3.9
										if (!is_dir('images')) {
											mkdir('images', 0777);
										}

										#3.10
										if (file_exists('images/'.$filename)) {
											$error_message = 'The file '.$filename.' already exists.';
										} else {
											/*
											Acum ca m-am asigurat ca ceea ce vrea utilizatorul sa urce este o imagine si nu altceva
											si acea imagine nu exista deja pe server, pot urca linistit imaginea de pe PC-ul utilizatorului
											pe serverul de hosting. Din motive de securitate schimb numele initial al imaginii utilizatorului.
											Noul nume este generat aleatoriu.
											*/
											#3.11
											$alphabet = 'abcdefghijklmnoprqstuvxyz';
											$new_fn = '';
											for ($i = 0; $i < 10; $i++) {
												$new_fn .= substr($alphabet, rand(0,strlen($alphabet) - 1), 1);
											}

											#3.12
											if (substr(sprintf('%o', fileperms('images')), -4) != 777) {
												$error_message = 'The folder has not the right permissions to read it.';
											} else {
												$count = 0;

												$open = opendir ('images');

												while ($image_name = readdir($open)) {
													//. reprezinta folderul curent iar .. reprezinta folderul anterior
													if ($image_name != '.' && $image_name != '..') {
														$image_extension = substr($image_name, strpos($image_name,'.'),100);
														$image_extension = strtolower($image_extension);

														if (in_array($image_extension,$allowed_extensions)) {
															$count++;
														}
													}
												}

												#3.13
												if (move_uploaded_file($_FILES['userfile']['tmp_name'], 'images/'.($count + 1).'_'.$new_fn.$extension)) {
													$confirmation = 'The file '.$filename.' was succesfully uploaded.';
												} else {
													$confirmation = 'Something is wrong with the server.';
												}
											}
										}
									}
								}
							}
							/***/
						}
					}
				}
			}
		}
	}
}
?>



How do I make a upload form?
















	'.$confirmation.''; ?>
	'.$error_message.''; ?>

Pentru o mai buna organizare a codului este indicat ca scriptul PHP de deasupra DOCTYPE-ului, care verifica daca fisierul este o imagine (valida) si urca imaginea de pe PC-ul utilizatorului pe server, sa se bage intr-un fisier include si sa fie apelat prin functia PHP include().

Publica acest articol pe Twitter

Articole asemanatoare:

Cum extrag extensia unui fisier?

Cum fac un formular de contact?

Cum fac un formular de comentarii?

Cum afisez continutul unui site in mai multe limbi folosind PHP?

admin — Fri, 05 Mar 2010 16:53:14 +0000

Am vazut pe net multe siteuri cu continutul prezentat in mai multe limbi. Ceea ce este un lucru bun si imbucarator. Gresita, sau cel putin grosiera, era modalitatea de realiza acest lucru si anume se crea pentru fiecare limba in parte un folder nou in care se stocau fisierele ce alcatuiesc websiteul. Acest lucru are multiple dezavantaje:

se ocupa inutil spatiu pe server

se pierde timp mult atunci cand clientul cere o modificare sau un update

iti dai cu firma in cap daca codezi in stilul asta websiteurile

De aceea voi prezenta mai jos o tehnica de a genera continutul unui website mult mai elegant folosindu-ma de limbajul de scripting server-side PHP.

Folosind aceasta tehnica websiteul este indexat de catre motoarele de cautare (Google, Yahoo, Bing, Ask.com) in toate limbile in care este afisat continutul (engleza, romana, franceza, germana, italiana, spaniola etc.). Scriptul PHP genereaza in toate limbile pana si titlul si metadatele paginii.

mlwebsite.php – pagina principala a websiteului

<?php echo $home_seo['title']; ?>

Am apelat in fisier cateva surse externe:
choose_lang.inc.php – fisierul care stabileste in ce limba se va afisa continutul siteului

ro.php – fisierul in care se afla continutul siteului in limba romana. Fisierul en.php este identic cu ro.php. Doar traducerea continutului difera. Atentie! Cheile array-urilor nu se traduc. Doar valorile se traduc. Aceste fisiere se afla in folderul langs din root-ul websiteului. Daca vrem sa adaugam inca o limba, de exemplu limba franceza, nu trebuie decat sa cream un fisier fr.php in care vom baga continutul websiteului in limba franceza.

'Engleza', 'ro_flag' => 'Romana', 'header' => 'Ce limbaje trebuie sa stiu ca sa dezvolt aplicatii web?', 'copyright' => 'Site dezvoltat de www.accesinterzis.ro © 2010. Toate drepturile rezervate.' ); if (basename($_SERVER['PHP_SELF']) == 'mlwebsite.php') { $home_seo = array( 'title' => 'Cum fac un website multilingvistic?', 'description' => 'Acest script PHP prezinta continutul unui website in mai multe limbi.', 'keywords' => 'limbi,php,website,romana,engleza,italiana', 'abstract' => 'Acest script PHP prezinta continutul unui website in mai multe limbi.' ); $home_content = array ( 'html_title' => 'HTML', 'html_description' => 'HTML este o forma de marcare orientata catre prezentarea documentelor text pe o singura pagina, utilizand un software de redare specializat, numit agent utilizator HTML, cel mai bun exemplu de astfel de software fiind browserul web. HTML furnizeaza mijloacele prin care continutul unui document poate fi adnotat cu diverse tipuri de metadate si indicatii de redare. Indicatiile de redare pot varia de la decoratiuni minore ale textului, cum ar fi specificarea faptului ca un anumit cuvant trebuie subliniat sau ca o imagine trebuie introdusa, pana la scripturi sofisticate....
[mai mult]', 'css_title' => 'CSS', 'css_description' => 'CSS este destinat in primul rand pentru a permite separarea continutului documentului (scrise in HTML sau un limbaj de markup similare) de la prezentarea document, inclusiv elemente, cum ar fi structura, culori si fonturi. Aceasta separare se poate imbunatati continutul de accesibilitate, sa asigure o mai mare flexibilitate si de control in caietul de sarcini al caracteristicilor de prezentare, permite mai multe paginila formatarea parts, si de a reduce complexitatea si repetitia in continutul structurale...
[mai mult]', 'js_title' => 'Javascript', 'js_description' => 'JavaScript este un limbaj de programare orientat obiect bazat pe conceptul prototipurilor. Este folosit mai ales pentru introducerea unor functionalitati in paginile web, codul Javascript din aceste pagini fiind rulat de catre browser. Limbajul este binecunoscut pentru folosirea sa in construirea siturilor web, dar este folosit si pentru acesul la obiecte incastrate (embedded objects) in alte aplicatii. A fost dezvoltat initial de catre Brendan Eich de la Netscape Communications Corporation sub numele de Mocha, apoi LiveScript, si denumit in final JavaScript...
[mai mult]', 'php_title' => 'PHP', 'php_description' => 'PHP este un limbaj de programare. Numele PHP provine din limba engleza si este un acronim recursiv : Php: Hypertext Preprocessor. Folosit initial pentru a produce pagini web dinamice, este folosit pe scara larga in dezvoltarea paginilor si aplicatiilor web. Se foloseste in principal inglobat in codul HTML, dar incepand de la versiunea 4.3.0 se poate folosi si in mod "linie de comanda" (CLI)...
[mai mult]', 'mysql_title' => 'MySQL', 'mysql_description' => 'Desi este folosit foarte des impreuna cu limbajul de programare PHP, cu MySQL se pot construi aplicatii in orice limbaj major. Exista multe scheme API disponibile pentru MySQL ce permit scrierea aplicatiilor in numeroase limbaje de programare pentru accesarea bazelor de date MySQL, cum are fi: C, C++, C#, Java, Perl, PHP, Python, FreeBasic, etc., fiecare dintre acestea folosind un tip spefic API. O interfata de tip ODBC denumita MyODBC permite altor limbaje de programare ce folosesc aceasta interfata, sa interactioneze cu bazele de date MySQL cum ar fi ASP sau Visual Basic...
[mai mult]', 'xml_title' => 'XML', 'xml_description' => 'eXtensible Markup Language(XML) este un meta-limbaj de marcare recomandat de Consortiul Web pentru crearea de alte limbaje de marcare, cum ar fi XHTML, RDF, RSS, MathML, SVG, OWL etc. Aceste limbaje formeaza familia de limbaje XML. Meta-limbajul XML este o simplificare a limbajului SGML (din care se trage si HTML) si a fost proiectat in scopul transferului de date intre aplicatii pe internet, descriere structura date. XML este acum si un model de stocare a datelor nestructurate si semi-structurate in cadrul bazelor de date native XML....
[mai mult]' ); } ?>

langs_menu.inc.php – fisierul care genereaza meniul de limbi

'; echo ''; echo ''; echo ''; echo ''; } ?>

header.inc.php – fisierul care contine headerul websiteului

footer.inc.php – fisierul care contine footerul websiteului

Toate fisierele apelate cu functia PHP include() contin bucati de cod comune tuturor paginilor. Astfel, editand un fisier include modificarea se face automat in toate paginile websiteului casting timp.

Descrierile limbajelor sunt luate de pe Wikipedia.

Publica acest articol pe Twitter

Articole asemanatoare:
Cum restrictionez accesul la continutul paginii mele web phpinfo.php?

Cum restrictionez accesul la continutul paginii mele web phpinfo.php?

admin — Fri, 05 Mar 2010 11:25:13 +0000

De multe ori am avut nevoie sa rulez functia PHP phpinfo() ca sa aflu niste detalii legate de serverul web ce imi gazduieste fisierele. De aceea am facut o pagina phpinfo.php pe care o deschid oridecateori am nevoie sa aflu cate ceva despre setarile serverului.

Problema e ca accesul la continutul paginii nu este restrictionat. Oricine de pe intreg mapamond care are un PC conectat la Internet poate vedea continutul paginii mele. Ceea ce nu este prea indicat. Asadar, trebuie sa creez un sistem de autentificare care sa permita doar persoanelor autorizate sa vada continutul paginii. Acest sistem de autentificare este destul de simplu. Nu necesita un formular de login sau o baza de date. Ma folosesc doar de array-ul superglobal $_GET.

Ca sa pot accesa continutul paginii trebuie sa scriu URL-ul astfel: http://www.accesinterzis.ro/myportofolio/phpinfo.php?pw=primavarapeinserate.

Scriptul are doua mici dezavantaje:

cel mai important dezavantaj e ca, desi am deschis pagina si pot vedea continutul, parola ramane in URL si este vizibila (deci cineva din camera unde ma aflu o poate vedea)

al doilea dezavantaj e ca parola nu este validata cu toate ca nu prea e necesar acest lucru in acest context dar este un obicei bun de programare sa validam intotdeauna datele primite de la utilizator

Deci, trebuie sa rescriu scriptul. Sa il imbunatatesc.

Acum nu mai ramane decat sa punem scriptul de mai sus deasupra DOCTYPE-ului fiecarei paginii web pe care vrem sa o protejam de ochii curiosi. Am adaugat in script si functia de logout. Nu trebuie decat sa scriem URL-ul astfel: http://www.accesinterzis.ro/myportofolio/phpinfo.php?action=logout.

Scriptul poate fi dezvoltat si mai mult si poate fi folosit ca sistem de autentificare a utilizatorilor unei sectiuni de administrare. Diferenta dintre sistemul de login ce foloseste un formular HTML si acesta este ca in loc sa preiau datele de logare din array-ul superglobal $_POST, le preiau din array-ul superglobal $_GET.

Publica acest articol pe Twitter

Articole asemanatoare:
Cum afisez continutul unui site in mai multe limbi folosind PHP?

Cum fac un formular de autentificare a utilizatorilor?

admin — Thu, 04 Mar 2010 18:54:31 +0000

Un website (website de prezentare, blog, forum, magazin online, portal) este alcatuit din doua parti:

frontend – este partea publica a unui website unde se gaseste tot continutul lui (text, imagini, video, animatii Flash). Frontend-ul este destinat vizitatorilor. De exemplu, frontend-ul unui website de prezentare al unei firme este constituit din toate paginile sale cum ar fi pagina “Despre” (unde firma prezinta istoricul firmei si profilul de activitate al firmei), pagina “Portofoliu” (unde firma prezinta lucrarile realizate si proiectele in curs de realizare), pagina “Galerie” (unde vizitatorul gaseste o galerie de imagini cu produsele firmei), pagina “Contact” (unde vizitatorul poate intra in legatura cu detinatorii firmei) s.a.m.d..

backend – este partea cu acces restrictionat din spatele websiteului pe care numai un numar limitat de utilizatori o pot accesa pe baza unei autentificari. Din backend se administreaza continutul de pe frontend si chiar se pot face modificari asupra designului, structurii si functionalitatii frontend-ului in sine. Spre deosebire de frontend, backend-ul nu trebuie sa fie indexat de motoarele de cautare (Google, Yahoo, Bing, Ask.com etc.). Ca sa evitam acest lucru vom scrie in fisierul robots.txt din folderul radacina a websiteului urmatoarele linii:
User-agent: * Disallow: /backend/

In loc de termenul backend se mai folosesc termenii sectiune de administrare si CMS (de la Content Managment System – in limba engleza, Sistem de gestionare a continutului). Cand intalnim unul din acesti termeni trebuie sa stim ca se face referire la unul si acelasi lucru.

Ca sa restrictionam accesul la sectiunea de administrare trebuie mai intai sa inregistram toti utilizatorii intr-o baza de date. Apoi cream un formular de autentificare a utilizatorilor sectiunii de administrare si un tabel, numit ai_authentication_logs, in care vom inregistra loguri despre autentificarile facute.

$q = "CREATE TABLE IF NOT EXISTS ai_authentication_logs( authentication_log_id INT UNSIGNED NOT NULL AUTO_INCREMENT, username VARCHAR(30) NOT NULL, password VARCHAR(40) NOT NULL, server_authentication_date DATETIME NOT NULL, client_authentication_date DATETIME NOT NULL, ip VARCHAR(30) NOT NULL, browser_os VARCHAR(255) NOT NULL, screen_resolution VARCHAR(15) NOT NULL, status VARCHAR(10) NOT NULL, PRIMARY KEY(authentication_log_id))"; mysql_query($q) or die(mysql_error());

Acest tabel ne permite sa tinem o evidenta a celor care utilizeaza sectiunea de administrare. De fiecare data cand cineva se autentifica se introduce in baza de date numele utilizatorului, parola encriptata a utilizatorului, data si ora autentificarii (atat ora de pe server cat si ora de pe PC-ul utilizatorului), IP-ul de pe care s-a facut autentificarea, browserul si sistemul de operare folosite de utilizator, rezolutia monitorului utilizatorului, statusul autentificarii (reusita sau esuata).

Daca o autentificare esueaza parola va fi inregistrata in clar. Astfel putem vedea daca cineva doreste sa intre neautorizat in sectiunea de administrare si cu ce cuvinte incearca sa sparga parola. Se stie foarte bine ca o parola poate fi aflata prin forta bruta (brute force attack), utilizand un dictionar de cuvinte (dictionary attack) sau prin inginerie sociala (social engineering) sau poate fi pur si simplu ghicita. De asemenea un utilizator poate sa isi infecteze PC-ul cu un keylogger si astfel un rau-voitor sa intre in posesia datelor sale de logare.

Mai pe scurt, acest tabel ne ajuta sa vedem daca se intampla ceva suspicios in legatura cu utilizatorii sectiunii de administrare.

In cazul in care autentificarea reuseste, se va crea o sesiune pe server, se va salva in sesiune numele utilizatorului si browserul si sistemul de operare folosite de utilizator si se va face redirectionarea de la pagina de login la pagina principala a sectiunii de administrare.

Apoi pe pagina principala a sectiunii de administrare, deasupra DOCTYPE-ului mai exact, exista un script PHP care verifica daca cel care vrea sa deschida pagina este autorizat sau nu sa faca acest lucru. Daca este autorizat pagina va fi afisata in browser, daca nu este autorizat va fi redirectionat catre pagina de login. Acest script PHP il punem in toate paginile sectiunii de administrare, deasupra DOCTYPE-ului, pentru a restrictiona accesul la ele.

Se prefera utilizarea sesiunilor in detrimentul cookie-urilor deoarece datele de logare ale utilizatorului sunt stocate pe server si nu pe PC-ul utilizatorului. In acest fel datele de logare sunt infinit mai protejate si nu sunt transmise in mod repetat intre server si browser. Pe PC-ul utilizatorului se creeaza doar un cookie cu identificatorul sesiunii. Numele acestui cookie este PHPSESSID si valoarea stocata de cookie este o valoare de genul a76b45cf92d87ea710fc8e9a9f812fa (32 de caractere hexazecimale). Existenta acestui cookie se poate verifica din browser.

Pentru ca acest script PHP de autentificare sa fie complet functional mai am nevoie de fisierul care ma conecteaza la baza de date, connect_to_db.inc.php, pe care il apelez cu functia include().

loginform.php – pagina cu formularul de autentificare

$v) { #4.1 $v = trim($v); #4.2 /* Cand bag datele in baza de date le infasor in mysql_real_escape_string(). Cand citesc datele din baza de date le infasor in stripslashes() si htmlentities(). */ if (ini_get('magic_quotes_gpc')) { $v = stripslashes($v); } $v = mysql_real_escape_string($v); #4.3 $$k = $v; #4.4 if (empty($v)) { $errors[$k] = 'The '.$k.' is required.'; } else { if (strlen($v) > 30) { $errors[$k] = 'The '.$k.' is too long.'; } else { if ($k == 'username') { if (!preg_match('/^[a-z0-9_. ]*$/i', $v)) { $errors[$k] = 'The username isn\'t valid.'; } } if ($k == 'password') { if(!preg_match('/^[a-z0-9]*$/i', $v)) { $errors[$k] = 'The password isn\'t valid.'; } else { if (strlen($v) < 5) { $errors[$k] = 'The password is too short.'; } } } } } } #5 /* Dupa ce m-am asigurat ca datele de autentificare sunt valide (adica nu contin caractere nepermise utilizate in atacuri asupra bazei de date cum ar fi injectiile sql) verific daca combinatia username/password se regaseste in tabelul in care sunt inregistrati toti utilizatorii sectiunii de administrare. */ if (count($errors) == 0) { $q = "SELECT username FROM ai_registrationform WHERE username='$username' AND password=SHA('$password')"; $result = mysql_query($q) or die(mysql_error()); $row = mysql_fetch_array($result); #5.1 /* Daca autentificarea s-a efetuat cu succes: - salvez in tabelul de loguri un log despre autetificare - salvez in sesiune numele utilizatorului si numele browserului si sistemului de operare pe care le foloseste - redirectez utilizatorul de pe pagina de login pe pagina principala a sectiunii de administrare */ if ($row) { $q2 = "INSERT INTO ai_authentication_logs(`username`, `password`, `server_authentication_date`, `client_authentication_date`, `ip`, `browser_os`, `screen_resolution`, `status`)" ."VALUES('$username', SHA('$password'), NOW(), '".$_COOKIE['client_authentication_date']."', '".$_SERVER['REMOTE_ADDR']."', '".$_SERVER['HTTP_USER_AGENT']."', '".$_COOKIE['screen_resolution']."', 'succesful')"; mysql_query($q2) or die(mysql_error()); session_start(); $_SESSION['username'] = $row['username']; $_SESSION['browser_os'] = $_SERVER['HTTP_USER_AGENT']; header('Location:http://'.$_SERVER['HTTP_HOST'].dirname($_SERVER['PHP_SELF']).'/backend.php'); exit(); } else { $q2 = "INSERT INTO ai_authentication_logs(`username`, `password`, `server_authentication_date`, `client_authentication_date`, `ip`, `browser_os`, `screen_resolution`, `status`)" ."VALUES('$username', '$password', NOW(), '".$_COOKIE['client_authentication_date']."', '".$_SERVER['REMOTE_ADDR']."', '".$_SERVER['HTTP_USER_AGENT']."', '".$_COOKIE['screen_resolution']."', 'failed')"; mysql_query($q2) or die(mysql_error()); $error_message = 'Your login data are wrong.'; } } } ?> How do I make a login form?

Login
'.$error_message.'
'; ?> '.$errors['username'].'
' : '
' ; ?> Username*:
'.$errors['password'].'
' : '
' ; ?> Password*:

backend.php – pagina principala a sectiunii de administrare

Backend

Welcome to the administration section

Logout

sidebar'; } ?>

, esti aici deoarece ai dovedit ca esti un utilizator autorizat al acestei sectiuni de administrare. Acum delogheaza-te si incearca sa accesezi din nou . Vei vedea ce se intampla cand cineva neautentificat incearca sa intre in sectiunea de administrare.

Designed and developed by www.accesinterzis.ro © 2010. All rights reserved.

Pentru un mai bun managment al codului trebuie sa facem urmatoarele lucruri:

scriptul PHP de deasupra DOCTYPE-ului paginii de login, care valideaza datele introduse in formular, autentifica utilizatorul si il redirectioneaza catre sectiunea de administrare, se baga intr-un fisier include si se apeleaza prin functia PHP include().

liniile CSS, care creeaza skinul formularului de autentificare, din sectiunea a paginii de login se baga intr-un fisier CSS extern si se apeleaza cu tagul HTML .

liniile Javascript, care creeaza cookie-urile cu datele despre utilizator, din sectiunea a paginii de login se baga intr-un fisier JS extern si se apeleaza cu tagul HTML

scriptul PHP de deasupra DOCTYPE-ului paginilor ce alcatuiesc sectiunea de administrare, care permite doar utilizatorilor autentificati sa intre in sectiunea de administrare si realizeaza si functia de logout, se baga intr-un fisier include si se apeleaza prin functia PHP include().

liniile CSS, care creeaza skinul sectiunii de administrare, din sectiunea se baga intr-un fisier CSS extern si se apeleaza cu tagul HTML .

Ca sa verificati functionalitatea acestui script PHP de autentificare a utilizatorilor si sa intrati in sectiunea de administrare puteti sa va inregistrati in baza de date si apoi sa va logati.

Publica acest articol pe Twitter

Articole asemanatoare:
Cum fac un formular de inregistrare a utilizatorilor?

Cum fac un formular de comentarii?

Cum fac un formular de contact?

Cum fac un formular de inregistrare a utilizatorilor?

admin — Tue, 02 Mar 2010 14:56:01 +0000

Prin ce se caracterizeaza acest formular de inregistrare a utilizatorilor?

scriptul PHP isi creeaza singur tabelul in care va stoca utilizatorii daca acesta nu exista in baza de date

toate datele introduse sunt validate server-side

scriptul verifica in baza de date daca exista deja numele de utilizator ales si adresa de email a noului utilizator

fiecare mesaj de eroare este personalizat pentru fiecare eroare in parte

campurile care contin date invalide sunt evidentiate

scriptul pastreaza datele introduse in campurile formularului atunci cand detecteaza o eroare

designul formularului este creat EXCLUSIV din CSS

de protectie antispam nu avem nevoie deoarece se presupune ca formularul de inregistrare se afla in interiorul unei sectiuni de administrare

Asadar, ca sa realizez un formular de inregistrare a utilizatorilor mai intai creez in baza de date tabelul care va stoca toti utilizatorii.

$q = "CREATE TABLE IF NOT EXISTS ai_registrationform( user_id INT UNSIGNED NOT NULL AUTO_INCREMENT, username VARBINARY(30) NOT NULL, email VARCHAR(30) NOT NULL, password CHAR(40) NOT NULL, registration_date DATETIME NOT NULL, ip VARCHAR(16) NOT NULL, PRIMARY KEY(user_id))"; mysql_query($q) or die(mysql_error());

Mai avem nevoie de connect_to_db.inc.php, fisierul care ne conecteaza la baza de date.

$v) { #4.1 $v = trim($v); #4.2 /* Cand bag datele in baza de date le infasor in mysql_real_escape_string(). Cand citesc datele din baza de date le infasor in stripslashes() si htmlentities(). */ if (ini_get('magic_quotes_gpc')) { $v = stripslashes($v); } $v = mysql_real_escape_string($v); #4.3 $$k = $v; #4.4 if (empty($v)) { if ($k != 'retype_password') { if ($k == 'email') { $errors[$k] = 'The email address is required.'; } else { $errors[$k] = 'The '.$k.' is required.'; } } } else { if (strlen($v) > 30) { if ($k == 'email') { $errors[$k] = 'The email address is too long.'; } else { $errors[$k] = 'The '.$k.' is too long.'; } } else { if ($k == 'username') { if (!preg_match('/^[a-z0-9_. ]*$/i', $v)) { $errors[$k] = 'The username isn\'t valid.'; } else { $q = "SELECT user_id FROM ai_registrationform WHERE LOWER(username)='".strtolower($v)."'"; $result = mysql_query($q) or die(mysql_error()); if (mysql_num_rows($result) != 0) { $errors[$k] = 'The username already exists in our database.'; } } } if ($k == 'email') { if (!preg_match('/^[a-z0-9_.]+@[a-z0-9-.]+\.[a-z]{2,4}$/i', $v)) { $errors[$k] = 'The email address isn\'t valid.'; } else { $q = "SELECT user_id FROM ai_registrationform WHERE LOWER(email)='".strtolower($v)."'"; $result = mysql_query($q) or die(mysql_error()); if (mysql_num_rows($result) != 0) { $errors[$k] = 'The email address already exists in our database.'; } } } if ($k == 'password') { if(!preg_match('/^[a-z0-9]*$/i', $v)) { $errors[$k] = 'The password isn\'t valid.'; } else { if (strlen($v) < 5) { $errors[$k] = 'The password is too short.'; } else { /* Daca parola aleasa este valida verific daca a fost retiparita corect. */ if ($k == 'retype_password' && ($password != $retype_password)) { $errors['password'] = 'The two passwords don\'t match.'; $errors['retype_password'] = true; } } } } } } } #6 if(count($errors) == 0) { #6.1 $q = "INSERT INTO ai_registrationform(`username`, `email`, `password`, `registration_date`, `ip`)" ."VALUES('$username', '$email', SHA('$password'), NOW(), '".$_SERVER['REMOTE_ADDR']."')"; #6.2 if (mysql_query($q)) { $confirmation = 'The user '.$username.' was succesfully registered in our databse.'; } else { $confirmation = 'Something is wrong with the server. Your registration wasn\'t added.'; } } } ?> How do I make a registration form?

Register an user
'.$confirmation.'
'; ?> '.$errors['username'].'
' : '
' ; ?> Username*:
'.$errors['email'].'
' : '
' ; ?> Email*:
'.$errors['password'].'
' : '
' ; ?> Password*:
' : '
' ; ?> Retype password*:

Pentru un mai bun managment al codului este indicat ca scriptul PHP de deasupra DOCTYPE-ului, care valideaza datele introduse in formular si inregistreaza utilizatorul in baza de date, sa se bage intr-un fisier include si sa fie apelat prin functia PHP include().

De asemenea, este indicat ca liniile CSS, care creeaza skinul formularului de inregistrare, din sectiunea sa fie bagate intr-un fisier CSS extern si apelate cu tagul HTML .

Publica acest articol pe Twitter

Articole asemanatoare:
Cum fac un formular de autentificare a utilizatorilor?

Cum fac un formular de comentarii?

Cum fac un formular de contact?

Cum fac un formular de comentarii?

admin — Mon, 01 Mar 2010 21:34:29 +0000

Prin ce se caracterizeaza acest formular de comentarii?

scriptul PHP isi creeaza singur tabelul in care va stoca comentariile daca acesta nu exista in baza de date (deci mai putina munca in phpmyadmin)

protectie antispam 100% datorita sistemului CAPTCHA integrat

toate datele introduse sunt validate server-side (nu bag mana in foc caci inca nu sunt doxa de programare, dar cred ca este securizat destul ca sa nu execute vreun rau-voitor o injectie sql)

evidentierea campurilor care contin date invalide

pastrarea datelor in campuri atunci cand scriptul detecteaza o eroare

background-ul fiecarui comentariu alterneaza de la un comentariu la altul pentru o mai buna vizualizare a comentariilor

designul formularului este creat EXCLUSIV din CSS

Asadar, ca sa realizez un formular de cometarii mai intai creez in baza de date tabelul care va stoca toate comentariile.

$q = "CREATE TABLE IF NOT EXISTS ai_commentform( comment_id INT UNSIGNED NOT NULL AUTO_INCREMENT, name VARCHAR(30) NOT NULL, email VARCHAR(30) NOT NULL, website VARCHAR(30) NOT NULL, comment TEXT NOT NULL, date DATETIME NOT NULL, ip VARCHAR(30) NOT NULL, PRIMARY KEY(comment_id))"; mysql_query($q) or die(mysql_error());

Mai avem nevoie de connect_to_db.inc.php, fisierul care ne conecteaza la baza de date.

$v) { #5.1 $v = trim($v); #5.2 /* Cand bag datele in baza de date le infasor in mysql_real_escape_string(). Cand citesc datele din baza de date le infasor in stripslashes() si htmlentities(). */ if (ini_get('magic_quotes_gpc')) { $v = stripslashes($v); } $v = mysql_real_escape_string($v); #5.3 $$k = $v; #5.4 if (empty($v)) { if ($k != 'website') { $errors[$k] = true; } } else { if ($k != "comment") { if (strlen($v) > 30) { $errors[$k] = true; } else { if ($k == 'name' && !preg_match('/^[a-z0-9_. ]*$/i', $v)) { $errors[$k] = true; } if ($k == 'email' && !preg_match('/^[a-z0-9_.]+@[a-z0-9-.]+\.[a-z]{2,4}$/i', $v)) { $errors[$k] = true; } if ($k == 'website' && !preg_match('/^http:\/\/[a-z0-9.-]+\.[a-z]{2,4}$/i', $v)) { $errors[$k] = true; } if ($k == 'security_code' && $_SESSION['security_code'] != $v ) { $errors[$k] = true; } } } } } #6 if(count($errors) == 0) { #6.1 $q = "INSERT INTO ai_commentform(`name`, `email`, `website`, `comment`, `date`, `ip`)" ."VALUES('$name', '$email', '$website', '$comment', NOW(), '".$_SERVER['REMOTE_ADDR']."')"; #6.2 if (mysql_query($q) == false) { $error_message = 'Something is wrong with the server. Your comment wasn\'t added.'; } } else { $error_message = 'We got '.count($errors).' error(s). Check out the highlitghed field(s).'; } } ?> How do I make a comment form?
'; echo '
'.mysql_num_rows($result).' comment(s) so far
'; $i = 0; while ($row = mysql_fetch_array($result)) { echo '
'; echo ($row['website'] == '') ? ''.$row['name'].'' : ''.$row['name'].''; echo ' - '.$row['date']; echo '
'; echo (is_int($i/2)) ? '
' : '
'; echo htmlentities(stripslashes($row['comment'])); echo '
'; $i++; } echo ''; } ?>
Leave a comment
'.$error_message.'
'; ?>
> Name*:

> Email*:

> Website:

> Your comment*: <?php if ($comment) echo htmlentities(stripslashes($comment)); ?>

> Are you human?*

Felul in care se integreaza sistemul CAPTCHA in formular il puteti gasi in articolul care prezinta cum se realizeaza un formular de contact.

Pentru un mai bun managment al codului este indicat ca scriptul PHP de deasupra DOCTYPE-ului, care valideaza datele introduse in formular si introduce comentariile in baza de date, sa se bage intr-un fisier include si sa fie apelat prin functia PHP include().

De asemenea, este indicat ca liniile CSS, care creeaza skinul formularului de comentarii, din sectiunea sa fie bagate intr-un fisier CSS extern si apelate cu tagul HTML .

Publica acest articol pe Twitter

Articole asemanatoare:
Cum fac un formular de inregistrare a utilizatorilor?

Cum fac un formular de contact?

Cum fac un formular de autentificare a utilizatorilor?

Cum fac un formular de contact?

admin — Tue, 23 Feb 2010 15:11:55 +0000

Prin ce se caracterizeaza acest formular de contact?

toate datele sunt validate server-side

protectie antispam 100% datorita sistemului CAPTCHA integrat in formular

campul unde exista o eroare este evidentiat

datele completate raman in campurile formularului atunci cand se detecteaza o eroare

skin creat EXCLUSIV din CSS

formularul poate fi usor de integrat intr-un website

skinul emailului trimis poate fi formatat prin folosirea tagurilor HTML si a regulilor CSS aplicate inline

in subsolul emailului trimis exista cateva informatii despre expeditor

$v) { #5.1 $v = trim($v); #5.2 $post[$k] = htmlentities(stripslashes($v) , ENT_QUOTES, 'utf-8'); if (empty($post[$k]) || (strlen($post[$k]) > 30 && $k != 'message')) { $errors[$k] = true; } } #6 $k = 'name'; if (!preg_match('/^[a-z0-9_. ]*$/i', $post[$k])) { $errors[$k] = true; } $k = 'phone_number'; if (!preg_match('/^[0-9.+ ]*$/', $post[$k])) { $errors[$k] = true; } $k = 'email'; if (!preg_match('/^[a-z0-9_.]+@[a-z0-9-.]+\.[a-z]{2,4}$/i', $post[$k])) { $errors[$k] = true; } $k = 'security_code'; if ($_SESSION['security_code'] != $post[$k]) { $errors[$k] = true; } #7 if(count($errors) == 0) { #7.1 $to = 'whovisitedme@gmail.com'; $subject = substr($post['message'],0,20).'...'; $body = 'This message is received from http://'.$_SERVER['HTTP_HOST'].$php_self.'

Name: '.$post['name'].'
Phone number: '.$post['phone_number'].'
Email address: '.$post['email'].'
Mesagge: '.$post['message'].'

Infos about sender:
IP address: '.$_SERVER['REMOTE_ADDR'].'
browser and operating system: '.$_SERVER['HTTP_USER_AGENT'].'
dispatch hour: '.date("l, F j, Y, H:i:s"); $headers = "From: ".$post['email']."\r\n"; #7.2 $headers .= 'MIME-Version: 1.0'."\r\n"; $headers .= 'Content-type: text/html; charset=utf-8' . "\r\n"; #7.3 if (mail($to, $subject, $body, $headers)) { $confirmation = 'Your message was succesfully sent. We will get in touch with you as soon as possible.'; } else { $confirmation = 'Something is wrong with the server. Your message wasn\'t sent.'; } } else { $confirmation = 'We got '.count($errors).' error(s). Check out the highlighted field(s).'; } } ?> How do I make a contact form?

Contact us
'.$confirmation.'
'; ?>
> Name*:

> Phone number*:

> Email*:

> Your message*: <?php if (isset($post['message'])) echo $post['message']; ?>

> Are you human?*

Pe langa fisierul principal de mai sus mai avem nevoie de fisierul care genereaza imaginea cu codul de securitate si anume captchaimage.inc.php care se gaseste in folderul “includes” si de fontul folosit pentru generarea codului de securitate si anume monofont.ttf care trebuie sa se afle in acelasi folder cu captchaimage.inc.php.

generateCode($characters); /* font size will be 75% of the image height */ $font_size = $height * 0.75; $image = @imagecreate($width, $height) or die('Cannot initialize new GD image stream'); /* set the colours */ $background_color = imagecolorallocate($image, 255, 255, 255); $text_color = imagecolorallocate($image, 51, 51, 51); $noise_color = imagecolorallocate($image, 110, 110, 110); /* generate random dots in background */ for( $i=0; $i<($width*$height)/10; $i++ ) { imagefilledellipse($image, mt_rand(0,$width), mt_rand(0,$height), 1, 1, $noise_color); } /* generate random lines in background */ for( $i=0; $i<($width*$height)/150; $i++ ) { imageline($image, mt_rand(0,$width), mt_rand(0,$height), mt_rand(0,$width), mt_rand(0,$height), $noise_color); } /* create textbox and add text */ $textbox = imagettfbbox($font_size, 0, $this->font, $code) or die('Error in imagettfbbox function'); $x = ($width - $textbox[4])/2; $y = ($height - $textbox[5])/2; imagettftext($image, $font_size, 0, $x, $y, $text_color, $this->font , $code) or die('Error in imagettftext function'); /* output captcha image to browser */ header('Content-Type: image/jpeg'); imagejpeg($image); imagedestroy($image); $_SESSION['security_code'] = $code; } } $width = isset($_GET['width']) ? $_GET['width'] : '120'; $height = isset($_GET['height']) ? $_GET['height'] : '40'; $characters = isset($_GET['characters']) && $_GET['characters'] > 1 ? $_GET['characters'] : '6'; $captcha = new CaptchaSecurityImages($width,$height,$characters); ?>

Pentru un mai bun managment al codului este indicat ca scriptul PHP de deasupra DOCTYPE-ului, care valideaza datele introduse in formular si trimite emailul, sa se bage intr-un fisier include si sa fie apelat prin functia PHP include().

De asemenea, este indicat ca liniile CSS, care creeaza skinul formularului de contact, din sectiunea sa fie bagate intr-un fisier CSS extern si apelate cu tagul HTML .

Publica acest articol pe Twitter

Articole asemanatoare:
Cum fac un formular de comentarii?

Cum fac un formular de inregistrare a utilizatorilor?

Cum fac un formular de autentificare a utilizatorilor?

Cum restartez calculatorul din Command Prompt?

admin — Tue, 23 Feb 2010 10:35:31 +0000

A venit zilele trecute la mine un vecin ca sa ii bag pe laptop Windows 7. Laptopul era un Acer Aspire 7520 cu Windows Vista incorporat si limba italiana ca limba default. Asa ca nu intelegeam mai nimic din meniuri. Dar nu trebuia decat sa ii dau un restart ca sa pot intra in BIOS sa setez prioritatea bootarii. In timp ce bajbaiam prin meniu si ma chinuiam sa ghicesc care este butonul de restart mi-am adus aminte de o linie de cod care iti permite sa restartezi calculatorul din Command Prompt.

shutdown -r -t 1

-r inseamna ca PC-ul va fi restartat iar -t 1 inseamna ca PC-ul va fi restartat peste o secunda.

Tot aceasta linie de cod poate fi folosita cand vrem ca PC-ul sa se stinga peste o anumita perioada. De exemplu, ma uit la un film, e seara tarziu si imi e ca o sa adorm si calculatorul o sa ramana deschis pana maine dimineata. Asa ca scriu in Command Prompt urmatoarea linie de cod:

shutdown -s -t 7200

-s inseamna ca PC-ul se va stinge si -t 7200 inseamna ca PC-ul se va stinge peste 7200 de secunde. Adica 2 ore.

Publica acest articol pe Twitter

Niciun articol asemanator.

Cum extrag extensia unui fisier?

admin — Mon, 22 Feb 2010 17:46:18 +0000

Scriptul PHP de mai jos extrage extensia unui fisier. Este util atunci cand dezvoltam formulare de upload sau cand citim dinamic un folder de fisiere. De exemplu, un folder de imagini folosit de o galerie de imagini sau un folder de fonturi folosit de catre un CAPTCHA.

Cand cream un formular de upload pentru adaugare de poze trebuie sa nu permitem utilizatorilor sa urce pe serverul nostru de hosting orice vor ei. Trebuie sa fim siguri ca ceea ce utilizatorul urca este intr-adevar o poza si nu altceva. Ca de exemplu un executabil malitios sau pagini scam care evident ar face rau serverului, website-ului si imaginii noastre. Deci, de fiecare data cand scriem cod server-side trebuie sa plecam de la premisa ca ceea ce utilizatorul introduce nu e de incredere. De aceea, trebuie sa adaugam toate restrictiile necesare.

De obicei, o galerie de imagini se hraneste dinamic cu imaginile unui folder de pe serverul de hosting. Acest script PHP ne ajuta sa fim siguri ca galeria citeste din folder doar imaginile.

Publica acest articol pe Twitter

Articole asemanatoare:
Cum fac un formular de upload in PHP?

Cum extrag adrese de email de pe o pagina web?

Cum extrag adrese de email de pe o pagina web?

admin — Mon, 22 Feb 2010 17:41:54 +0000

Scriptul PHP de mai jos extrage adrese de email de pe o pagina web.

'); //removing all symbols from the source-code less "@", "." and "_" $sc = str_replace($forbidden_symbols, ' ', $sc); //storing all words from the source-code into an array $words_found = explode(' ', $sc); //verifying each word from array if it is an email address for ($i = 0; $i < count($words_found); $i++) { //if the word contains the symbols "@" that means it is an email address if (strpos($words_found[$i], '@')) { //I make sure that the email address has no empty spaces in the beginning and in the and of it $email_address = trim($words_found[$i]); //I make sure that the email address has no symbols in the beginning and in the and of it //I apply all these cleaning filters because the source-code can be pretty messy $first_char = substr($email_address, 0, 1); while (!ctype_alpha($first_char)) { $email_address = substr($email_address, 1, strlen($email_address)); $first_char = substr($email_address, 0, 1); } $last_char = substr($email_address, strlen($email_address) - 1, 1); while (!ctype_alpha($last_char)) { $email_address = substr($email_address, 0, strlen($email_address) - 1); $last_char = substr($email_address, strlen($email_address) - 1, 1); } //I make sure that the extracted string is really an email address if (eregi("^[a-z0-9\._-]+@+[a-z0-9\._-]+\.+[a-z]{2,4}$", $email_address)) { echo $email_address.'
'; } } } ?>

O caracteristica importanta a scriptului este ca poate rula foarte bine pe un server local ca EasyPHP sau XAMPP. Nu trebuie sa ruleze neaparat pe un server de hosting care poate sa fi restrictionat utilizarea functiei PHP file_get_contents(). Aceasta restrictie se face editand fisierul php.ini al serverului Apache. Mai exact, urmatoare linie de cod: allow_url_fopen = Off.

Incepand de la acest script pot fi dezvoltate aplicatii web mult mai complexe cu multe campuri de formulare, tot felul de scripturi jQuery si o baza de date unde sa fie stocate adresele de email. Deci, simte-te liber sa iti dezvolti propria aplicatie bazata pe propriile interese. Eu doar am prezentat idea de baza. Am aratat cum se poate obtine codul-sursa al unei pagini web din care putem extrage ce dorim. De exemplu, adrese de email, URL-uri, cuvinte-chie s.a.m.d.. Depinde ce doresti.

Inainte sa termin articolul vreau sa mentionez ca scriptul nu are nimic de a face cu spamming-ul. Spamming inseamna mesagerie electronica nesolicitata. Deci, atat timp cat scriptul nu trimite emailuri nesolicitate cu reclame scriptul nu poate fi considerat bot de spamming. Seamana mai mult cu crawlerele motoarelor de cautare (Yahoo, Bing si evident maretul Google) care aduna informatii de pe Internet sapand adanc in codul-sursa al paginilor web. Scriptul poate fi adaptat sa adune URL-uri sau intreg textul de pe pagina web sau ce vrea mintea ta in loc de adrese de email.

Privitor la adresele de email de pe paginile web, am vazut pe Internet persoane care incearca sa isi protejeze adresele de email inlocuind "@" cu "[at]" si "." cu "[dot]". Aceasta metosa are doua dezavantaje: primul este ca se pot scrie scripturi care foarte usor pot sparge acest sistem: scrptul cauta in codul-sursa "[at]" in loc de "@". Deci va obtine adresa de email in acest format: accesinterzis[at]gmail.com. Urmatorul pas este sa inlocuiasca "[at]" cu "@" folosind functia PHP str_replace() si va obtine intr-un sfarsit adresa de email adevarata. Al doilea dezavantaj al metodei este ca adresa de email arata urat. Asadar, cea mai buna cale de a proteja o adresa de email este de a o genera pe ecran folosind Javascript asa cum am facut eu in pagina mea de contact. Avem nevoie doar de cateva linii de cod:

Utilizand aceste linii de cod Javascript niciun bot nu poate extrage adresa de email din codul-sursa al paginii web si adresa de email arata mult mai friendly in browser. Cand lucram cu Javascript, principala ingrijorare este ca scriptul Javascript ar putea sa nu fie cross-browser. Dar in acest caz codul este simplu si nu trebuie sa ne ingrijoram in aceasta privinta.

Astept sugestii de a imbunatati acest algoritm de extragere a adreselor de email de pe o pagina web.

Publica acest articol pe Twitter

Articole asemanatoare:
Cum floodez o adresa de email?

Cum extrag extensia unui fisier?