LINUXSOFT.cz Přeskoč levou lištu
Uživatel: Heslo:  
   CZUKPL

> PHP (51) - Přenos dat mezi stránkami

Mějme dva PHP skripty. Jak sdílet data mezi nimi? Budete to potřebovat!

1.10.2004 15:00 | Petr Zajíc | Články autora | přečteno 58346×

Komerční sdělení: Pořádáme Kurzy PHP

V předchozím díle seriálu jsme si ukázali, že není až takový problém pomocí PHP vyžádat po uživateli ověřující informace. Jejich výhoda je ta, že se automaticky posílají na každou další stránku, takže ověření uživatele stačí provést jenom jednou. Často budeme ale podobný mechanismus potřebovat nejen pro přenos přihlašovacích údajů, ale i pro jiné proměnné.

Předpokládejme malou aplikaci, do níž se uživatel již přihlásil. Dejme tomu, že uvnitř aplikace budeme potřebovat mezi jednotlivými stránkami zároveň přenášet nějaký identifikátor uživatele, čas přihlášení a třebas počet stránek, které navštívil po svém přihlášení. Pravděpodobně nejjednodušší bude zamontovat tyto informace do URL stránky a neustále je mezi sebou posílat. Asi takto:

<?
if(isset($_GET["id"])) $id=$_GET["id"]; else $id=1;
if(isset(
$_GET["cas"])) $cas=$_GET["cas"]; else $cas=time();
if(isset(
$_GET["stranek"])) $stranek=++$_GET["stranek"]; else $stranek=1;

echo
"<h1>Vítejte na naší stránce</h1>";
echo
"<p>Vaše údaje jsou:";
echo
"<BR>ID: ".$id;
echo
"<BR>Čas přihlášení: ".date("j.n.Y G:i:s",$cas);
echo
"<BR>Počet navštívených stránek po přihlášení: ".$stranek;

echo
"<p><a href=\"51_druha.php?id=".$id."&amp;cas=".$cas."&stranek=".$stranek."\">Na další stránku aplikace</a>";
?>

Spustit skript

Z celého příkladu bude pravděpodobně nejdůležitější poslední řádek. Všimněte si, že musíme sestavit odkaz včetně toho, že do něj uvedeme všechny proměnné, aby nám to mohlo fungovat.

V praxi má tento přístup jednu podstatnou výhodu - bude to pracovat úplně všude. A zejména pro hodně malé projekty to bude pravděpodobně stačit. Abychom byli upřímní, má tento přístup ke sdílení informací mezi stránkami rovněž poměrně podstatné nevýhody. Asi tou největší je fakt, že údaje přenášené mezi stránkami se dají jednoduše přečíst a změnit. Jsou totiž vidět v prohlížeči v řádku s adresou.

Jak to napravit

Pakliže byste trvali na přenosu dat pomocí parametrů, ale zároveň byste chtěli zabránit jejich přečtení, mám pro Vás dobrou zprávu - jde to. Nic Vám totiž nebrání přenášet parametry nějak zašifrovaně. Jedna dobrá metoda spočívá v použití funkcí knihovny Mcrypt, pokud ji instalace PHP na vašem serveru podporuje. Jelikož jí instalace PHP na vašem serveru z různých důvodů podporovat nemusí, můžete zkusit najít nějaký hotový PHP skript na šifrování (já hledal třeba tady).

Lehce zmodifikovaný kód našeho původního skriptu by tedy byl:

<?
// odkaz na šifrovací třídu...
$sifra= new Crypt_Xtea;

// po přijetí data dekódujeme...
if(isset($_GET["id"])) $id=$sifra->decrypt(base64_decode(urldecode($_GET["id"])),"klíč"); else $id=1;
if(isset(
$_GET["cas"])) $cas=$sifra->decrypt(base64_decode(urldecode($_GET["cas"])),"klíč"); else $cas=time();
if(isset(
$_GET["stranek"])) $stranek=$sifra->decrypt(base64_decode(urldecode($_GET["stranek"])),"klíč")+1; else $stranek=1;

// tady by byla práce s aplikací

// před přenesením zakódujeme...
$id=urlencode(base64_encode($sifra->encrypt((string)$id, "klíč")));
$cas=urlencode(base64_encode($sifra->encrypt((string)$cas, "klíč")));
$stranek=urlencode(base64_encode($sifra->encrypt((string)$stranek, "klíč")));

echo
"<p><a href=\"51_druha_s.php?id=".$id."&amp;cas=".$cas."&stranek=".$stranek."\">Na nějakou jinou stránku</a>";
?>

Ukázat celý skript | Spustit skript

Vidíme, že skript obsahuje několik nových věcí. Tak především je to použití třídy Crypt_Xtea ze stejnojmenného balíčku staženého z repository PEAR. Tato třída se stará o vlastní šifrování dat pomocí klíče, který jsme vtipně nazvali "klíč".

Pozn.: Malá odbočka - pokud si vzpomínáte na díl seriálu o objektovém programování, tohle je přesně příklad demonstrující použití objektů. Vůbec nemusím vědět, jak funguje třída Crypt_Xtea vevnitř, stačí mi, když si v dokumentaci najdu co umí a jak to použít. V produkčním nasazení byste pochopitelně každý kód měli řádně testovat. O kódu přejatém to platí dvojnásob.

Potom je tu použita funkce base64_encode. Ta už neprovádí žádné šifrování dat, pouze je kóduje. To je nutné, protože výstup z šifrovacího algoritmu skoro určitě bude obsahovat binární data a ta bychom jako parametr příkazové řádky nepřenesli. Konečně, urlencode zase zajistí, že do parametru se nedostanou znaky, které tam nemají co dělat.

Při načítání stránky data zpracujeme pomocí odpovídajících funkcí urldecode, base64_decode a decrypt, pochopitelně v tomto pořadí. Tak tedy můžeme mezi stránkami přenášet informace zašifrovaně. Což řeší problém s jejich odhalením nebo modifikací. Ovšem, neřeší to jiný vážný problém: Někdo by mohl zkopírovat celou adresu skriptu včetně parametrů a mohl by se na naši stránku dostat.

To se nějak obecně řešit nedá a je to asi největší úskalí tohoto způsobu práce mezi stránkami. Pokud byste ovšem používali šifrování, můžete si pohrát s myšlenkou dynamické změny klíče (třeba v závislosti na čase serveru). Pokud bychom například použili čas přihlášení jako klíč (či jako podklad pro jeho generování), pravděpodobně bychom měli problém vyřešen.

Výhody a nevýhody

Předávání informací důležitých pro běh skriptu jako parametry URL má tedy následující výhody:

  • Bude to fungovat úplně všude
  • Trochu se to dá šifrovat
a následující nevýhody:
  • Je to náročné na psaní kódu
  • Hrozí neoprávněný přístup
  • Nehodí se to pro mnoho dat ani pro dlouhá data
  • Je to relativně pomalé

Příště si ukážeme, jak obdobný problém řešit jiným způsobem. Budou to cookies.

Verze pro tisk

pridej.cz

 

DISKUZE

detail & 2.10.2004 12:24 David Stefka
Ampresand 2.10.2004 13:17 Petr Zajíc
session 4.10.2004 11:09 kai
L Re: session 5.10.2004 13:08 Petr Zajíc
Předání souboru (ne jen odkazu) mezi 2 skripty 25.4.2006 14:20 Radin Černý
přenos speciálních znaků 24.7.2006 10:14 Daniel Kohout
L Re: přenos speciálních znaků 24.7.2006 12:15 Aleš Hakl
  L Re: přenos speciálních znaků 24.7.2006 14:22 Daniel Kohout
Nepoužívat urldecode() na $_GET 8.4.2007 13:20 Miroslav Vavruska




Příspívat do diskuze mohou pouze registrovaní uživatelé.
> Vyhledávání software
> Vyhledávání článků

12.7.2016 13:14 /František Kučera
Spolek OpenAlt zve na 130. distribuovaný sraz příznivců svobodného softwaru a otevřených technologií (hardware, 3D tisk, SDR, DIY, makers…), který se bude konat ve čtvrtek 21. července od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

11.7.2016 16:53 /Redakce Linuxsoft.cz
Konference LinuxDays hledá přednášející. Přihlášky poběží do konce prázdnin, v září bude hlasování a program. Více na https://www.linuxdays.cz/2016/cfp/.
Přidat komentář

8.5.2016 17:19 /Redakce Linuxsoft.cz
PR: Dne 26.5.2016 proběhne v Praze konference Cloud computing v praxi. Tématy bude např. nejnovější trendy v oblasti cloudu a cloudových řešení, cloudové služby, infrastruktura cloudu, efektivní využití cloudu, možné nástrahy cloudů a jak se jim vyhnout
Přidat komentář

21.4.2016 8:01 /František Kučera
Spolek OpenAlt zve na 127. distribuovaný sraz příznivců svobodného softwaru a otevřených technologií (hardware, 3D tisk, SDR, DIY, makers…), který se bude konat ve čtvrtek 28. dubna od 18:00 v Radegastovně Perón (Stroupežnického 20, Praha 5).
Přidat komentář

2.3.2016 22:41 /Ondřej Čečák
Letošní ročník konference InstallFest již tento víkend!
Přidat komentář

14.2.2016 16:39 /Redakce Linuxsoft.cz
O víkendu 5. a 6. března 2016 proběhne na pražském Strahově 8. ročník tradiční konference InstallFest. Celkem za dva dny uvidíte ​30 přednášek​ a ​6 workshopů.
Přidat komentář

5.2.2016 17:38 /Petr Ježek
Utilitka z XFce "xfce4-power-manager" nejen umožňuje nastavení lhůty pro uspání či hybernaci, ale i zapínání a vypínání prezentačního módu pro nerušené sledování videí. Stačí ji nastavit v každém vybavenějším panelu a v jakémkoli nontiled WM/DE.
Přidat komentář

10.1.2016 11:32 /Pavel `Goldenfish' Kysilka
LinuxMarket změnil provozovatele. Nově jej provozuje Marek Pszczolka. Více info a detaily #1 a #2.
Přidat komentář

   Více ...   Přidat zprávičku

> Poslední diskuze

28.7.2016 15:51 / pepan
Re: NetBeans vs Eclipse

10.6.2016 21:10 / pavel riha
FreeBSD 10.3 a virtualizace

8.6.2016 21:56 / Milan Gallas
Nevalidní prefix m

7.5.2016 14:58 / Teodor Komárek
Soubory

20.4.2016 0:07 / Jakub Cleing
Sázkový panel PHP FUSION

Více ...

ISSN 1801-3805 | Provozovatel: Pavel Kysilka, IČ: 72868490 (2003-2016) | mail at linuxsoft dot cz | Design: www.megadesign.cz | Textová verze