LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (51) - Přenos dat mezi stránkami

Mějme dva PHP skripty. Jak sdílet data mezi nimi? Budete to potřebovat!

1.10.2004 15:00 | Petr Zajíc | Články autora | přečteno 61741×

V předchozím díle seriálu jsme si ukázali, že není až takový problém pomocí PHP vyžádat po uživateli ověřující informace. Jejich výhoda je ta, že se automaticky posílají na každou další stránku, takže ověření uživatele stačí provést jenom jednou. Často budeme ale podobný mechanismus potřebovat nejen pro přenos přihlašovacích údajů, ale i pro jiné proměnné.

Předpokládejme malou aplikaci, do níž se uživatel již přihlásil. Dejme tomu, že uvnitř aplikace budeme potřebovat mezi jednotlivými stránkami zároveň přenášet nějaký identifikátor uživatele, čas přihlášení a třebas počet stránek, které navštívil po svém přihlášení. Pravděpodobně nejjednodušší bude zamontovat tyto informace do URL stránky a neustále je mezi sebou posílat. Asi takto:

<?
if(isset($_GET["id"])) $id=$_GET["id"]; else $id=1;
if(isset(
$_GET["cas"])) $cas=$_GET["cas"]; else $cas=time();
if(isset(
$_GET["stranek"])) $stranek=++$_GET["stranek"]; else $stranek=1;

echo
"<h1>Vítejte na naší stránce</h1>";
echo
"<p>Vaše údaje jsou:";
echo
"<BR>ID: ".$id;
echo
"<BR>Čas přihlášení: ".date("j.n.Y G:i:s",$cas);
echo
"<BR>Počet navštívených stránek po přihlášení: ".$stranek;

echo
"<p><a href=\"51_druha.php?id=".$id."&amp;cas=".$cas."&stranek=".$stranek."\">Na další stránku aplikace</a>";
?>

Spustit skript

Z celého příkladu bude pravděpodobně nejdůležitější poslední řádek. Všimněte si, že musíme sestavit odkaz včetně toho, že do něj uvedeme všechny proměnné, aby nám to mohlo fungovat.

V praxi má tento přístup jednu podstatnou výhodu - bude to pracovat úplně všude. A zejména pro hodně malé projekty to bude pravděpodobně stačit. Abychom byli upřímní, má tento přístup ke sdílení informací mezi stránkami rovněž poměrně podstatné nevýhody. Asi tou největší je fakt, že údaje přenášené mezi stránkami se dají jednoduše přečíst a změnit. Jsou totiž vidět v prohlížeči v řádku s adresou.

Jak to napravit

Pakliže byste trvali na přenosu dat pomocí parametrů, ale zároveň byste chtěli zabránit jejich přečtení, mám pro Vás dobrou zprávu - jde to. Nic Vám totiž nebrání přenášet parametry nějak zašifrovaně. Jedna dobrá metoda spočívá v použití funkcí knihovny Mcrypt, pokud ji instalace PHP na vašem serveru podporuje. Jelikož jí instalace PHP na vašem serveru z různých důvodů podporovat nemusí, můžete zkusit najít nějaký hotový PHP skript na šifrování (já hledal třeba tady).

Lehce zmodifikovaný kód našeho původního skriptu by tedy byl:

<?
// odkaz na šifrovací třídu...
$sifra= new Crypt_Xtea;

// po přijetí data dekódujeme...
if(isset($_GET["id"])) $id=$sifra->decrypt(base64_decode(urldecode($_GET["id"])),"klíč"); else $id=1;
if(isset(
$_GET["cas"])) $cas=$sifra->decrypt(base64_decode(urldecode($_GET["cas"])),"klíč"); else $cas=time();
if(isset(
$_GET["stranek"])) $stranek=$sifra->decrypt(base64_decode(urldecode($_GET["stranek"])),"klíč")+1; else $stranek=1;

// tady by byla práce s aplikací

// před přenesením zakódujeme...
$id=urlencode(base64_encode($sifra->encrypt((string)$id, "klíč")));
$cas=urlencode(base64_encode($sifra->encrypt((string)$cas, "klíč")));
$stranek=urlencode(base64_encode($sifra->encrypt((string)$stranek, "klíč")));

echo
"<p><a href=\"51_druha_s.php?id=".$id."&amp;cas=".$cas."&stranek=".$stranek."\">Na nějakou jinou stránku</a>";
?>

Ukázat celý skript | Spustit skript

Vidíme, že skript obsahuje několik nových věcí. Tak především je to použití třídy Crypt_Xtea ze stejnojmenného balíčku staženého z repository PEAR. Tato třída se stará o vlastní šifrování dat pomocí klíče, který jsme vtipně nazvali "klíč".

Pozn.: Malá odbočka - pokud si vzpomínáte na díl seriálu o objektovém programování, tohle je přesně příklad demonstrující použití objektů. Vůbec nemusím vědět, jak funguje třída Crypt_Xtea vevnitř, stačí mi, když si v dokumentaci najdu co umí a jak to použít. V produkčním nasazení byste pochopitelně každý kód měli řádně testovat. O kódu přejatém to platí dvojnásob.

Potom je tu použita funkce base64_encode. Ta už neprovádí žádné šifrování dat, pouze je kóduje. To je nutné, protože výstup z šifrovacího algoritmu skoro určitě bude obsahovat binární data a ta bychom jako parametr příkazové řádky nepřenesli. Konečně, urlencode zase zajistí, že do parametru se nedostanou znaky, které tam nemají co dělat.

Při načítání stránky data zpracujeme pomocí odpovídajících funkcí urldecode, base64_decode a decrypt, pochopitelně v tomto pořadí. Tak tedy můžeme mezi stránkami přenášet informace zašifrovaně. Což řeší problém s jejich odhalením nebo modifikací. Ovšem, neřeší to jiný vážný problém: Někdo by mohl zkopírovat celou adresu skriptu včetně parametrů a mohl by se na naši stránku dostat.

To se nějak obecně řešit nedá a je to asi největší úskalí tohoto způsobu práce mezi stránkami. Pokud byste ovšem používali šifrování, můžete si pohrát s myšlenkou dynamické změny klíče (třeba v závislosti na čase serveru). Pokud bychom například použili čas přihlášení jako klíč (či jako podklad pro jeho generování), pravděpodobně bychom měli problém vyřešen.

Výhody a nevýhody

Předávání informací důležitých pro běh skriptu jako parametry URL má tedy následující výhody:

  • Bude to fungovat úplně všude
  • Trochu se to dá šifrovat
a následující nevýhody:
  • Je to náročné na psaní kódu
  • Hrozí neoprávněný přístup
  • Nehodí se to pro mnoho dat ani pro dlouhá data
  • Je to relativně pomalé

Příště si ukážeme, jak obdobný problém řešit jiným způsobem. Budou to cookies.

Verze pro tisk

pridej.cz

 

DISKUZE

detail & 2.10.2004 12:24 David Stefka
Ampresand 2.10.2004 13:17 Petr Zajíc
session 4.10.2004 11:09 kai
L Re: session 5.10.2004 13:08 Petr Zajíc
Předání souboru (ne jen odkazu) mezi 2 skripty 25.4.2006 14:20 Radin Černý
přenos speciálních znaků 24.7.2006 10:14 Daniel Kohout
L Re: přenos speciálních znaků 24.7.2006 12:15 Aleš Hakl
  L Re: přenos speciálních znaků 24.7.2006 14:22 Daniel Kohout
Nepoužívat urldecode() na $_GET 8.4.2007 13:20 Miroslav Vavruska




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

4.10.2018 21:30 /Ondřej Čečák
LinuxDays 2018 již tento víkend, registrace je otevřená.
Přidat komentář

18.9.2018 23:30 /František Kučera
Zářijový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 20. 9. 2018 od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5). Tentokrát bez oficiální přednášky, ale zato s dobrým jídlem a pivem – volná diskuse na téma IoT, CNC, svobodný software, hardware a další hračky.
Přidat komentář

9.9.2018 14:15 /Redakce Linuxsoft.cz
20.9.2018 proběhne v pražském Kongresovém centru Vavruška konference Mobilní řešení pro business. Návštěvníci si vyslechnou mimo jiné přednášky na témata: Nejdůležitější aktuální trendy v oblasti mobilních technologií, správa a zabezpečení mobilních zařízení ve firmách, jak mobilně přistupovat k informačnímu systému firmy, kdy se vyplatí používat odolná mobilní zařízení nebo jak zabezpečit mobilní komunikaci.
Přidat komentář

12.8.2018 16:58 /František Kučera
Srpnový pražský sraz spolku OpenAlt se koná ve čtvrtek – 16. 8. 2018 od 19:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát jsou tématem srazu databáze prezentaci svého projektu si pro nás připravil Standa Dzik. Dále bude prostor, abychom probrali nápady na využití IoT a sítě The Things Network, případně další témata.
Přidat komentář

16.7.2018 1:05 /František Kučera
Červencový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 19. 7. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát bude přednáška na téma: automatizační nástroj Ansible, kterou si připravil Martin Vicián.
Přidat komentář

18.6.2018 0:43 /František Kučera
Červnový pražský sraz spolku OpenAlt se koná již tento čtvrtek – 21. 6. 2018 od 18:00 v Kavárně Ideál (Sázavská 30, Praha), kde máme rezervovaný salonek. Tentokrát na téma: F-Droid, aneb svobodný software do vašeho mobilu. Kromě toho budou k vidění i vývojové desky HiFive1 se svobodným/otevřeným čipem RISC-V.
Přidat komentář

23.5.2018 20:55 /Ondřej Čečák
Od pátku 25.5. proběhne na Fakultě informačních technologií ČVUT v Praze openSUSE Conference. Můžete se těšit na spostu zajímavých přednášek, workshopů a také na Release Party nového openSUSE leap 15.0. V na stejném místě proběhne v sobotu 26.5. i seminář o bezpečnosti CryptoFest.
Přidat komentář

20.5.2018 17:45 /Redakce Linuxsoft.cz
Ve čtvrtek 31. května 2018 připravuje webový magazín BusinessIT ve spolupráci s Best Online Média s.r.o. pátý ročník odborné konference Firemní informační systémy 2018. Akce proběhne v kongresovém centru Vavruška (palác Charitas), Karlovo náměstí 5, Praha 2 (u metra Karlovo náměstí) od 9:00 hod. dopoledne do cca 15 hod. odpoledne. Konference je zaměřena na efektivní využití firemních informačních systémů a na to, jak plně využít jejich potenciál. Podrobnější informace na webových stránkách konfrence.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

5.10.2018 17:12 / Jakub Kuljovsky
Re: Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:04 / Jan Ober
Jaký kurz a software by jste doporučili pro začínajcího kodéra?

20.9.2018 10:00 / Jan Ober
Re: Gimp

20.2.2018 18:48 / Ivan Majer
portal

20.2.2018 15:57 / Jan Havel
Jak využíváte služby cloudu v podnikání?

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2018) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze