- •1. Особенности программирования для Web. Различия в программировании на стороне клиента и сервера. Инструменты и технологии программирования.
- •2. Понятие Web-приложения. Типы, классификация, требования.
- •3. Понятие Web-сервера и Web-клинета. Протокол http. Структура запросов и ответов.
- •Структура http-запроса
- •Структура http-ответа
- •4. Cgi. Способы передачи данных. Запоминание состояния.
- •Способы передачи данных между cgi-программой и веб-сервером
- •Переменные окружения
- •5. Технологии ActiveX. Общая характеристика. Сферы использования.
- •Сферы применения
- •6. Технология Java. Общая характеристика. Сферы использования.
- •Сферы использования Java
- •7. Технология asp. Схема обработки запросов. Объекты Request, Response.
- •8. Субд MySql. Общая характеристика и особенности использования.
- •11. Язык разметки html. Структура документа. Элементы разметки для создания текстовых, графических и других объектов. Язык разметки xhtml – правила, версии.
- •Структура документа
- •Элементы разметки
- •Правила xhtml
- •Версии xhtml
- •12. Язык программирование JavaScript. Общая характеристика, методы использования, правила записи основных операторов.
- •Назначение JavaScript
- •Основные операторы
- •13. JQuery, общая характеристика, синтаксис операторов, правила написания селекторов и действий.
- •14. Объектная модель документа. Dynamic html. Примеры использования.
- •15. Язык программирования php. Синтаксис языка, декларации и предложения.
- •16. Язык программирования php. Виды и типы данных – скаляры, массивы и хеши.
- •4 Скалярных типа:
- •2 Комплексных (составных) типа:
- •2 Специальных типа:
- •17. Язык программирования php. Циклы, ветвления и управление ими.
- •18. Язык программирования php. Понятие регулярных выражений. Функции, использующие регулярные выражения.
- •19. Язык программирования php. Работа с текстовыми файлами.
- •20. Язык программирования php. Включение в программу внешних скриптов. Пользовательские подпрограммы. Обработка входных данных.
- •21. Язык программирования php. Доступ к базам данных.
- •22. Аутентификация пользователей средствами php.
- •23. Язык sql. Предложения манипулирования и выборки данных.
- •24. Безопасное программирование на php. Виды атак. Советы и рекомендации по защите программ.
- •2.Межсайтовый скриптинг
21. Язык программирования php. Доступ к базам данных.
PHP — скриптовый язык программирования общего назначения, интенсивно применяемый для разработки веб-приложений.
Серверный языком сценариев. Код PHP внедряется в HTML-страницу и выполняется на сервере при каждой ее загрузке. Интерпретируется веб-сервером (выполняется построчно) и генерируется HTML-код.
Любое веб-приложение, использующее БД, должно реализовывать следующие действия:
1. Проверка и фильтрация данных, получаемых от пользователя
\” – действие кавычек отменяется
“$a” – значение переменной а
‘$a’ – строка $a
2. Установка соединения с БД (mysql_connect)
3. Передача запросов в БД (mysql_query)
4. Получение результатов и предоставление результатов пользователю (mysql_fetch_array)
Куки
Setcookie (‘name’, ‘value’ [, time]) – установить значение куки
Пользователь может отключить куки.
$_COOKIE [‘logged’]=1;
Сессии
session_start(); - старт сессии
При закрытии браузера сессия закрывается. При открытии браузера открывается новая сессия, нужно снова вводить пароль. Отключить сессию невозможно пользователю.
$_SESSION [‘logged’]=1;
Шифрование
$k=mt_rand (1, 1000000); // генерирует случайные числа от 1 до 1000000
$k=md5 ($k); // функция шифрования
Для подключения к базе tests можно использовать следующий код:
<?php
$db = @mysql_connect("localhost", "root", "123456");
if (!$db) {
echo "Не удается подключиться к БД";}
else {
//работаем с БД :)
mysql_select_db ("tests");
mysql_close($db); //закрываем соединение}
?>
==Обработка результата запроса==
Для обработки результата запроса используются следующий функции:
mysql_num_rows () - возвращает количество записей в результате
mysql_num_fields () - возвращает количество полей в результате
mysql_result () - позволяет получить доступ к отдельному полю по указанному номеру строки. Нумерация строк начинается с нуля.
mysql_fetch_array () - возвращает результат в виде списка и ассоциированного массива.
mysql_fetch_row () - возвращает результат в виде списка
mysql_fetch_assoc () - возвращает результат в виде ассоциированного массива
mysql_fetch_object () - возвращает результат в виде объекта
22. Аутентификация пользователей средствами php.
Аутентификация - процедура проверки подлинности, например: проверка подлинности пользователя путём сравнения введённого им пароля с паролем в базе данных пользователей.
Куки
Setcookie (‘name’, ‘value’ [, time]) – установить значение куки
Пользователь может отключить куки.
$_COOKIE [‘logged’]=1;
Сессии
session_start(); - старт сессии
При закрытии браузера сессия закрывается. При открытии браузера открывается новая сессия, нужно снова вводить пароль. Отключить сессию невозможно пользователю.
$_SESSION [‘logged’]=1;
Шифрование
$k=mt_rand (1, 1000000); // генерирует случайные числа от 1 до 1000000
$k=md5 ($k); // функция шифрования
==СЕССИИ (СЕАНСЫ) В PHP==
Сессии и cookies предназначены для хранения сведений о пользователях при переходах между несколькими страницами. При использовании сессий данные сохраняются во временных файлах на сервере. Файлы с cookies хранятся на компьютере пользователя, и по запросу отсылаются браузером серверу.
Использование сессий и cookies очень удобно и оправдано в таких приложениях как Интернет-магазины, форумы, доски объявлений, когда, во-первых, необходимо сохранять информацию о пользователях на протяжении нескольких станиц, а, во-вторых, своевременно предоставлять пользователю новую информацию.
Протокол HTTP является протоколом "без сохранения состояния". Это означает, что данный протокол не имеет встроенного способа сохранения состояния между двумя транзакциями. Т. е., когда пользователь открывает сначала одну страницу сайта, а затем переходит на другую страницу этого же сайта, то основываясь только на средствах, предоставляемых протоколом HTTP невозможно установить, что оба запроса относятся к одному пользователю. Т. о. необходим метод, при помощи которого можно было бы отслеживать информацию о пользователе в течение одного сеанса связи с Web-сайтов. Одним из таких методов является управление сеансами при помощи предназначенных для этого функций. Для нас важно то, что сеанс по сути, представляет собой группу переменных, которые, в отличие от обычных переменных, сохраняются и после завершения выполнения PHP-сценария.
При работе с сессиями различают следующие этапы:
1. открытие сессии
2. регистрация переменных сессии и их использование
3. закрытие сессии
==Открытие сессии==
Самый простой способ открытия сессии заключается в использовании функции session_start, которая вызывается в начале PHP-сценария:
session_start
Синтаксис: session_start();
Эта функция проверяет, существует ли идентификатор сессии, и, если нет, то создает его. Если идентификатор текущей сессии уже существует, то загружаются зарегистрированные переменные сессии.
==Регистрация переменных сессии==
После инициализации сессии появляется возможность сохранять информацию в суперглобальном массиве $_SESSION. Пусть имеется файл index.php в котором в массив $_SESSION сохраняется переменная и массив.
<?php
// Инициируем сессию
session_start();
// Помещаем значение в сессию
$_SESSION['name'] = "value";
// Помещаем массив в сессию
$arr = array("first", "second", "third");
$_SESSION['arr'] = $arr;
// Выводим ссылку на другую страницу
echo "<a href='other.php'>другая страница</a>";
?>
На страницах, где происходит вызов функции session_start(), значения данных переменных можно извлечь из суперглобального массива $_SESSION. В следующем листинге приводится содержимое страницы other.php, где извлекаются данные, ранее помещенные на странице index.php.
<?php
// Инициируем сессию
session_start();
// Выводим содержимое суперглобального массива $_SESSION
echo "<pre>";
print_r($_SESSION);
echo "</pre>";
?>
Результат работы скрипта выглядит следующим образом:
Array
( [name] => value
[arr] => Array
(
[0] => first
[1] => second
[2] => third ))
==Закрытие сессии==
После завершения работы с сессией сначала нужно разрегистрировать все переменные сессии, а затем вызвать функцию unset():
Синтаксис: unset($_SESSION["username"]);
==Пример простой сессии==
Рассмотрим пример простой сессии, работающей с тремя страницами. При посещении пользователем первой страницы открывается сессия и регистрируется переменная $username. Соответствующий код реализации приведен в листинге:
<?
session_start();
$_SESSION['username'] = "maksim";
echo 'Привет, '.$_SESSION['username']."<br>";
?>
<a href="page2.php">На следующую страницу </a>
После этого, пользователь maksim нажимает на ссылку и попадает на страницу page2.php, код которой приведен в листинге:
<?
session_start();
echo $_SESSION['username'].' , ты пришел на другую страницу этого сайта!';
echo("<br>");
?>
<a href="page3.php">На следующую страницу </a>
При нажатии на ссылку, пользователь попадает на страницу page3.php, при этом происходит разрегистрация сеансовой переменной и уничтожение сессии. Соответствующий код реализации приведен в листинге:
<?
session_start();
unset($_SESSION['username']); // разрегистрировали переменную
echo 'Привет, '.$_SESSION['username'];
/* теперь имя пользователя уже не выводится */
session_destroy(); // разрушаем сессию
?>
После разрегистрации сеансовой переменной значение массива $_SESSION['username'] уже недоступно.
==КУКИ==
Использование сookies удобно как для программистов, так и для пользователей. Пользователи выигрывают за счет того, что им не приходится каждый раз заново вводить информацию о себе, а программистам сookies помогают легко и надежно сохранять информацию о пользователях.
Определение Cookies - это текстовые строки, хранящиеся на стороне клиента, и содержащие пары "имя-значение", с которыми связан URL, по которому браузер определяет нужно ли посылать cookies на сервер.
==Установка cookies==
Установка cookies производится с помощью функции setcookie:
Синтаксис:
bool setcookie (string name [, string value [, int expire [, string path [, string domain [, int secure]]]]])
Эта функция имеет следующие аргументы:
name - имя устанавливаемого cookie;
value - значение, хранящееся в cookie с именем $name;
expire - время в секундах с начала эпохи, по истечение которого текущий cookie становится недейтвительным;
path - путь, по которому доступен cookie;
domain - домен, из которого доступен cookie;
secure - директива, определяющая, доступен ли cookie не по запросу HTPPS. По умолчанию эта директива имеет значение 0, что означает возможность доступа к cookie по обычному запросу HTTP.
==Пример простого приложения с cookies==
Давайте создадим простой сценарий, подсчитывающий при помощи cookies количество обращений посетителя к странице.
В cookie с именем counter будет храниться число посещений страницы пользователем:
<?
$counter++;
setcookie("counter",$counter);
echo("Вы посетили эту страницу $counter раз");
?>
При работе с cookies необходимо учитывать важный момент, заключающийся в том, что cookie надо обязательно устанавливать перед отправкой в браузер каких-либо заголовков, поскольку сами cookies устанавливаются в виде заголовков. Поэтому если установить cookies после какого-либо текста, отправляемого в броузер, то возникнет ошибочная ситуация.
Заметим, что в этих листингах мы обращаемся к переменной $counter, в которой хранится значение cookie, как к глобальной, что требует наличия включенной директивы register_globals. Если эта директива отключена, то значение, хранящееся в cookie можно получить через глобальный массив $_COOKIE["name"]:
<?
$_COOKIE['counter']++;
setcookie("counter",$_COOKIE['counter']);
echo 'Вы посетили эту страницу '.$_COOKIE['counter'].' раз';
?>
==Установка срока годности cookies==
По умолчанию cookies устанавливаются на один сеанс работы с броузером, однако можно задать для них более продолжительный срок существования. Это очень удобное и полезное свойство, поскольку в этом случае пользователю не нужно предоставлять свои данные вновь при каждом посещении сайта.
Как уже говорилось, срок годности устанавливается в секундах относительно начала эпохи. В PHP существуют функции time и mktime для работы с датой и временем, позволяющие переводить текущее время в количество секунд с начала эпохи. Функция time просто переводит текущее системное время в количество секунд, прошедших с начала эпохи: time.
Синтаксис: time();
Усовершенствованным вариантом функции time является функция mktime: mktime.
==Удаление cookie==
Удалить cookie просто. Для этого надо вызвать функцию setcookie и передать ей имя того cookie, который подлежит удалению:
setcookie("name");
Другие установленные cookie при этом не удаляются.
==Проблемы безопасности, связанные с cookies==
Иногда в cookies приходится хранить конфиденциальные данные, и в этом случае разработчик должен позаботиться о том, чтобы информация хранящееся в cookie не была передана третьим лицам. Существует несколько методов защиты информации, хранящейся в cookie:
-установка области видимости cookies;
-шифрование;
-ограничение доступа для доменов;
-отправка cookies по защищенному запросу.
Наилучшим решением является комплексное применение всех этих способов.
=Установка области видимости cookie=
Поскольку, по умолчанию, доступ к cookie происходит из корневого каталога, это может создать "дыры" в системе защиты, так как cookies становятся доступными в любом подкаталоге этого каталога. Ограничить доступ к cookies для всех страниц, кроме расположенных в конкретном каталоге, к примеру, /web, можно следующим образом:
setcookie("name", $value, "/web/");
Однако и в этом случае, к примеру, каталоги /web/index.php, /web1/page.html и т. д. будут удовлетворять этому ограничению. Если такое положение также является нежелательным, можно ограничить область видимости cookies до конкретной страницы:
setcookie("name", $value, "/web/index.php");
Однако и такой способ в полной мере не решает проблему, так как в этом случае доступ к информации, содержащейся в cookie, может получить, к примеру, скрипт /web/index.php-script/anti_cookie.php. Поэтому появляется необходимость в шифровании.
=Шифрование=
Применить шифрование к cookies можно разными способами.
=Ограничение доступа для доменов=
Для дополнительной безопасности, список доменов, имеющих доступ к cookies, должен быть ограничен. Это можно сделать при помощи следующего кода:
setcookie("name", $value, "/web/index.php", ".server.com");
При таком ограничении заданной области видимости будут соответствовать домены с именами server.com, myservser.com, php.server.com и т. д., поскольку проверка на допустимость области видимости домена осуществляется по принципу концевого соответствия.
=Отправка cookies по защищенному запросу=
Не является излишним для cookie, хранящему секретные данные, разрешить отвечать только на защищенные запросы HTTP, так как в этом случае значительно затрудняется перехват данных, которыми обмениваются клиент и сервер. Для обеспечения защищенного соединения, функции setcookie передается шестой параметр со значением, равным 1:
setcookie("name", $value, time() + 600, "/web/", ".server.com", 1);