Diskusia – 15. diel - Tvorba knižníc v PHP
SpäťUpozorňujeme, že diskusie pod našimi online kurzami sú nemoderované a primárne slúžia na získavanie spätnej väzby pre budúce vylepšenie kurzov. Pre študentov našich rekvalifikačných kurzov ponúkame možnosť priameho kontaktu s lektormi a študijným referentom pre osobné konzultácie a podporu v rámci ich štúdia. Toto je exkluzívna služba, ktorá zaisťuje kvalitnú a cielenú pomoc v prípade akýchkoľvek otázok alebo projektov.
Zdravím,
celkom pekný tutoriál a už idem na ďalší, len som chcel upozorniť na
chybu v kóde v analyza.php.
echo('<tr><td>Samohlásek</td><td>' . htmlspecialchars($samohlasek) . '</td></tr>');
echo('<tr><td>Samohlásek</td><td>' . htmlspecialchars($souhlasek) . '</td></tr>');V tom druhom má byť Souhlasek a ty tam máš v oboch Samohlásek. 
Chcel by som autora upozorniť na zbytočný balast v kóde súboru
analyza.php (teďka pozerám, že už na to ktosi upozornil) – pri vypisovaní
premenných $samohlasek a $souhlasek sú zbytočne prehnané funkciou na
ošetrovanie prípadného HTML vstupu od užívateľa + ich datový typ
je integer, pretože to je iba výsledok nejakej operácie so vstupom, takže na
nich nie je čo ošetrovať 
Kubo2:31.1.2014 20:23
sdraco:
S tým, čo si napísal, rozhodne nemôžem súhlasiť. Ošetrovať stačí vždy iba tie vstupy, ktoré si získal (to je jedno kedy, či týmto konkrétnym požiadavkom alebo hociktorým predchádzajúcim) priamo od používateľa, kedy si nemôžeš byť vôbec istý tým, čo ti od neho príde (úplne najmenej, čo by si mal urobiť, ak chceš so vstupom pracovať, je otestovať, či vôbec existuje, resp. či je prázdny; pri type dát posielaných z formulára, t.j. application/x-www-form-urlencoded je teoreticky vhodné zároveň testovať, či je premenná reťazec, pretože pridaním [] za názov posielanej premennej z nej môže používateľ vytvoriť v PHP pole).
Ďaľšia vec, v PHP si typom môžeš byť práve taký istý ako príkladne v C#, Jave či Pythone. Vo funkcii pocetZnaku si inicializuješ premennú $pocet hodnotou 0. Táto hodnota je typu integer. Premenná, do ktorej zmienenú hodnotu ukladáš, je rovnež tohoto typu (ako iste vieš, v PHP nadobúda premenná typ podľa toho, čo do nej uložíš). V kontexte tejto funkcie túto premennú nikde nepretypuješ ani do nej nepriraďuješ hodnotu iného typu. Funkcia vráti jej hodnotu typu integer. V obidvoch funkciách pocetSamohlasek aj pocetSouhlasek (slovensky spoluhlások) priamo vraciaš návratovú hodnotu funkcie pocetZnaku, žiadnym spôsobom ju nemodifikuješ. Povedz mi jediný dôvod, prečo by si si nemal byť istý, že pri zavolaní jednej z týchto troch funkcií ti vrátia hodnotu typu integer?
Hodnotou, narozdiel od typu, si nemôžeš byť istý v žiadnom programovacom jazyku, takže tento argument sa mi javí ako bezpredmetný.
Že to nie je balast? Tak balast to určite je, to ti teda poviem. Hľadiac
na tvoje argumenty ťa radím medzi tých ľudí, ktorí prehnane (a zbytočne)
ošetrujú všetko, čo sa týka I/O, pretože nepochopili správne (alebo
vôbec) dôvody, prečo, kedy a ako sa dáta majú ošetrovať.
Totiž stačí si uvedomiť, že napríklad vstupy, ktoré sa chystáme uložiť
a vypisovať, je potrebné takmer vždy ošetriť proti tomu, aby
užívateľ mohol do tohoto vstupu (a následne na výstup) vpisovať rôzne
HTML značky.
Keď máme zase vstup, ktorý chceme použiť do SQL dotazu, musíme ho
ošetriť prednostne escapovaním apostrofov, aby si užívateľ nemohol
dopísať vlastný SQL dotaz.
A tak ďalej. Existujú zástupy konkrétnych situácií, v ktorých sa vstup
ošetruje vždy špecificky (keď chcem vypisovať dáta na
stránku, nebudem ich ošetrovať proti SQL Injection).
Môj predošlý komentár bol reakciou na to, že si v podstate úplne zbytočne ošetril číslo, ktoré vôbec ošetrovať nebolo potrebné - získal si ho totiž od vlastnej funkcie, v ktorej si môžeš byť istý tým, čo do nej napíšeš. Ak si tým istý nie si, vráť sa k základom PHP.
Nakoniec otázka trošku mimo témy: Kto ťa učil informatiku na Unicorn College? Respektíve kto ťa učil PHP?
mkub:
Sakra, vy dvaja s sdracom si fakt pekne protirečíte. Aký vstup používateľa sa zaznamenáva do premenných $znaku, resp. $samohlasek, resp. $souhlasek?
XSS a SQL Injection samozrejme poznám. Keďže programujem prevažne v PHP,
kde sa človek pomerne často potýka s databázami a hlavne sa v ňom
programujú webové aplikácie, stáva sa to mojou cirka každodennou kávou
Zatiaľ nikto nevložil komentár - buď prvý!