Można powiedzieć, że marzenia się spełniają. Długo zapowiadana niespodzianka stała się faktem. Szykuje się największe w tej części Europy święto dla wszystkich ludzi odpowiedzialnych za kształt Internetu.

Niniejszym zapraszam na stronę informacyjną konferencji – Front-Trends.com. Jak dotąd, udało się nam zebrać samą śmietankę w postaci naukowców, ewangelizatorów i twórców popularnych frameworków. Ludzi, którzy kreują światowy web. Już wkrótce kolejne, równie gorące nazwiska!

Oficjalna strona wydarzenia ma obecnie charakter wyłącznie informacyjny. Identyfikacja wizualna wraz logo i pełną wersją strony (w tym płatnościami) pojawią się już niedługo. Jednocześnie zapraszamy na Twittera oraz Blip po najnowsze wiadomości.

MVC to nic innego, jak skrót od Model View Controller. Jest to wzorzec projektowy (a więc zbiór pewnych reguł, według których budowane są aplikacje na całym świecie), który cieszy się bardzo dużą popularnością wśród webdeveloperów.

Nie wiem, jak dotąd projektowałeś swoje aplikacje PHP. Jeśli robiłeś to strukturalnie, w oparciu o funkcje, ten artykuł raczej nie jest dla Ciebie – co prawda można użyć MVC w podejściu strukturalnym, byłaby to jednak w pewnym sensie kpina ze sztuki. Kod strukturalny w PHP jest, może już to gdzieś słyszałeś, niczym źle przyrządzone spaghetti – wygląda, jak nie wiadomo co i w dodatku ucieka z talerza.

Jeśli z kolei znasz i wiesz na czym polega programowanie obiektowe, mamy o czym ze sobą rozmawiać. Zacznijmy od teorii.

Z reguły proste aplikacje w PHP wyglądają tak, że sprawdzany jest adres wpisany do przeglądarki (na podstawie $_GET, bądź innych właściwości z $_SERVER), potem includowane są potrzebne pliki w zależności od pozyskanych danych. Absolutne podstawy podstaw.

Stosując MVC nie możemy opierać się, jak to zwykle bywa w tradycyjnym podejściu, tylko na jednym pliku, np. index.php, w którym mieszamy kod prezentacji (np. HTML) i logikę biznesową (dane np. z MySQL).

Działa to zupełnie inaczej, a mianowicie mamy 3 główne elementy aplikacji, gdzie każda odpowiedzialna jest tylko za jedną rzecz. Są nimi:

• Controller steruje wszystkim tym, co dzieje się podczas uruchamiania danej akcji. Np. podczas wywołania index.php?controller=news&id=55.

  Przykładowo, jeśli dodasz np. nowego usera do bazy, to kontroler zdecyduje, że po tej czynności przeniesiony zostaniesz np. do edycji profilu. Kontroler to mózg sterujący całym wywołaniem strony. W pliku kontrolera wybierasz, z którego modelu (a więc pliku odpowiedzialnego za pobieranie danych – może to być baza danych, plik, cokolwiek) weźmiesz treść dla strony, a także jak ją wyświetlisz (czyli który widok Cię interesuje).

• Model zajmuje się tylko i wyłącznie pracą na danych.
• Widok (View) zajmuje się tylko i wyłącznie wyświetlaniem danych.

I tak, dobrą praktyką jest umieszczanie kontrolerów w folderze np. /controllers, widoków w /views, a modeli w /models. W ten sposób mamy jasny i prosty podział naszej aplikacji.

Jeśli więc uruchomimy przykładowo stronę index.php?controller=news&param=55, według MVC powinny dziać się następujące rzeczy:

• Dzięki takiemu parsowaniu adresów możemy łatwo zarządzać i dołączać kontrolery, które będą stanowić serce aplikacji. Po co stosować switch czy if do sprawdzania, co zostało wpisane w pole adresu, skoro możemy od razu, jeśli takowy istnieje, dołączyć stosowny plik.

  Funkcja/Klasa odpowiedzialna za parsowanie adresu (np. Router) pobiera go i na podstawie konfiguracji stwierdza, które słowo/zmienna w adresie oznacza kontroler, a które parametry doń przekazywane. Posiłkując się powyższym URL, kontrolerem będzie słówko news, a parametrem 55.

  Następnie, na podstawie uzyskanych danych, includujemy potrzebne pliki. Jak już się przekonaliśmy, potrzebny nam jest kontroler. Sprawdzamy więc, czy w folderze, który umownie wybraliśmy (controllers) znajduje się plik news.php (tak, news pochodzi z adresu strony).

• Następnie, mając załadowany kontroler, uruchamiamy jego defaultową metodę/funkcję, bo oprócz nazwy kontrolera nie mamy niestety nazwy żadnej jego akcji, którą moglibyśmy wywołać (gdyby adres miał postać index.php?controller=news&action=delete&id=55, można by posłużyć się zmienną $_GET['action'] i uruchomić coś takiego: $controller->$_GET['action']($_GET['id']). W takim razie używamy $controller->index(), bądź coś podobnego – wszystko zależy od konfiguracji.

  Nie muszę chyba też przypominać, że dane $_GET należy przefiltrować pod kątem złośliwych ataków. Z reguły robi to klasa odpowiedzialna za parsowanie adresu, bądź specjalna klasa obsługująca dany request (wywołanie adresu) pod kątem danych przekazanych przez użytkownika.

Od strony kodu, przykładowe wywołanie MVC wygląda następująco:

//index.php

$controller = Router::getController();
$controller = new $controller;
$action = Router::getAction();

$controller->$action(Router::getParams());

//controllers/news.php

class news_Controller extends Controller
{
	public function index($params)
	{
		$model = Router::getModel(); // // pobierze Model
		$model = new $model;

		$view = Router::getView(); // pobierze Widok
		$view = new $view; 

		$data = $model->getData($params); // pobiera dane z Modelu
		$view->setData($data); // przekazuje dane do Widoku, by ten mógł je wyświetlić
		$view->Render(); // wyświetli stronę
	}
}

Zalety MVC:

• Oddzielenie logiki biznesowej od warstwy prezentacji. Nie mieszamy znaczników HTML z zapytaniami SQL czy innymi konstrukcjami, nie mającymi ze sobą nic wspólnego.
• Przejrzystość aplikacji
• Łatwość rozbudowy
• Duża konfigurowalność
• MVC narzuca określony styl kodowania, ze strukturą katalogów włącznie, co w przypadku PHP ma duże znaczenie
• Łatwość utrzymania aplikacji
• i wiele innych

Artykuł ten to tylko zalążek tego, co można by powiedzieć o MVC. Postanowiłem przedstawić temat powierzchownie, ale na tyle wystarczająco, aby można było łatwo dowiedzieć się, z czym to, przysłowiowo, się je.

Kto wie, jeśli zainteresowanie tematem będzie duże, spróbuję rozbudować materiał, tworząc tutorial, jak zbudować framework oparty o MVC. Decyzja należy do Was.

Przede wszystkim, wszelkie formularze powinny być uczulone na odpalanie ich z zewnątrz. Sprawdzenie zmiennej $_SERVER['HTTP_REFERER'] przy weryfikacji danych pochodzących z formularzy powinno być jednym z pierwszych naszych kroków. Chodzi bowiem o to, aby właściwość ta była zawsze niepusta i równa adresowi strony, z której wysyłany jest formularz:

if (isset($_SERVER['HTTP_REFERER']) && 'domena.com/login' == str_replace(array('http://', 'www.', 'https://'), '', $_SERVER['HTTP_REFERER'])) { echo 'Wszystko gra'; };

Podobny kod odsieje domorosłych autorów botów i skryptów “hakujących co się da!!!!1111jeden’, nie załatwi jednak na poważnie problemu, bowiem nagłówek referer można łatwo zmodyfikować przy requeście HTTP. Idziemy dalej.

Nim dopuścimy do porównania danych zawartych w bazie z tymi z formularza, sprawdźmy, czy dany, potencjalny bot obsługuje system sesji. Zakładając, że mamy stronę login.php (zawierająca formularz), stwórzmy zmienną sesji i zapiszmy ją w ukrytym elemencie formularza:

$_SESSION['hidden_value'] = rand(0, 100);

<input type="hidden" name="something" value="<?=$_SESSION['hidden_value']?>" />

Sprawdźmy teraz, po wysłaniu danych formularza, czy zmienne sesyjne będą równać się danym z tablicy $_POST:

if ($_SESSION['hidden_value'] == $_POST['something']) { echo 'Droga wolna'; }

Ukryte elementy formularza można zastosować także nieco inaczej. Osobiście bardzo sobie cenię ten sposób, ponieważ pozwala odsiać w zasadzie wszystkie boty, o ile nie prowadzimy witryny pokroju yahoo.com ;-). Cała zabawa polega na ustawieniu w pliku z formularzem dodatkowego pola typu text z pustą wartością:

<input type="text" name="something_other" value="" />

Dodatkowo ukrywamy takie pole CSSem, stosując display: none;.

Jak wiemy, większość botów wypełnia automatycznie wszystkie pola formularza i natychmiastowo wysyła dane. Boty to komputery, dla niektórych – niestety, nie mają oczu i nie umawiają się na randki. Dlatego też bot nie zauważy, paradoksalnie, że dane pole jest ukryte przez CSS i potraktuje je jako zwykły element formularza, który trzeba wypełnić ofertą powiększenia tego i owego. Wystarczy więc sprawdzić, czy dane pole zostało wypełnione – jeśli tak, mamy do czynienia z botem bądź użytkownikiem przeglądarki tesktowej (bez CSS), który także zobaczy dodatkowe pole:

if (!empty($_POST['something_other'])) { exit(); die(); }

Od razu możemy wychwycić IP takiego delikwenta i na wszelki wypadek zapisać go do bazy, dzięki czemu, w większości będziemy mieć kompetentną listę botów, które należy zbanować.

Co więcej, tego typu puste pola możemy generować losowo, tak, by bot nie rozszyfrował nas, poznając stały atrybut name. Można więc losować name elementu text i zapisać go do sesji. Wtedy mamy o wiele więcej pewności, że bot nie pozna za szybko naszych intencji.

To tylko kilka przykładów, jak można zrobić detekcję botów. Na widnokręgu zagadnienia są: sprawdzanie włączonego JS (tutaj z kolei ryzykujemy użytkownikami z wyłączoną obsługą tego języka), odpowiednie chmody dla plików, autoryzacja HTTP, SSL, i wszelkiego rodzaju CAPTCHA (przy dodawaniu kontentu w miarę sprawne, choć do logowania bezużyteczne i wkurzające). Inna sprawa to także bezpieczna walidacja danych, temat ten jednak wypada omówić nieco szerzej, w bardziej rozległym kontekście. Z chęcią poznam też Wasze sposoby na tego typu ataki.

It’s a kind of magic

Początkujący, z reguły 12-14 latek, który zaczynał pracę w tym biznesie, tworząc stronę internetową swojego gimnazjum/podstawówki. Początkującego możemy poznać po podobnym kodzie:

<?php

// pobieramy do zmiennej $strona zawartość z tablicy $_GET [rys. 20]
$strona = $_GET['strona'];

if ($strona == "news")
{
	print ("<html><body>");
	header_wklej();
	include ("".$strona."php");
	print("<table><tr><td>All rights reserved!</td><td>Copyright 2007</td><td>Webmaster: Zenek12, Powered By PHP Zenek CMS</td></tr></table>");
}
function header_wklej()
{
	print("<head><title>Strona Zenka</title></head>");
}
?>

Jak widać panuje tutaj pełna dowolność, ale i świadomość prestiżu, tak więc nie dziwi wykonana w dość ergonomiczny sposób stopka. Konieczne jest też nazwanie swojego kodu CMSem, bo to ostatnio dość popularne słowo. Kto nie ma CMS’a, jest zacofany i musi dużo nadrobić, by odzyskać szacunek prawdziwych webmasterów w branży.

Złote dziecko polskiej informatyki z reguły, po napisaniu swojego pierwszego skryptu, idzie na jakieś forum, bądź listę dyskusyjną. Z reguły też zostaje zbanowane, bądź ostrzegane przez adminów 2 godziny po zaprezentowaniu swoich niebanalnych umiejętności. Przygoda dobiega końca, kiedy ktoś wytknie jakiś błąd, bądź lukę. Wtedy najczęściej uwidacznia się lekkie zdenerwowanie, wszak rozmówcy nie wiedzą jeszcze, że mają do czynienia z przyszłym Billem Gatesem.

PHP master

Lata mijają, a kursy ze stronek znalezionych w Googlach już nie satysfakcjonują. Trzeba kupić jakąś książkę, aczkolwiek PHP masterowi nie chce się za bardzo czytać recenzji (przecież ma dyslekcję!), więc kupuje pierwszą lepszą z PHP w tytule. W helionie akurat jest promocja na wszystkie książki o PHP, a najbardziej sexy okazała się PHP – programowanie gier. PHP master to człowiek obyty i na poziomie, więc wie w co gra się aktualnie na podwórku, a jak ludzie z dzielni dowiedzą się, że robi gierki w PHP, tak, tak, tym PHP, to już w ogóle kosmos.

Książka przyszła do domu, a rodzina zdębiała. Zenek kupił sobie książkę, no bój się Boga, ale niech dziecko czyta, byleby przed tym komputerem tak nie siedziało… – dało się zasłyszeć w domowych czeluściach. Zenek jednak nic nie zrozumiał z publikacji, w dodatku nie napisali o grafice, więc dbając o ład i elegancję pokoju, wsadził pod biurko wielki jak kloc podręcznik do PHP.

Na szczęście, tu się zagadało, tam się zagadało, na Gie-Gie się było, z tym i tym się rozmawiało, to i skill przyszedł. Czas na upgrade strony domowej Zenka!

<?php

	$strona = $_GET['strona'];

	if ($strona == 'news')
	{
		mysql_connect('localhost', 'root', 'root');
		mysql_select_db('niusy');

		$query = "SELECT * FROM ".$strona." ;";
		$result = mysql_query($query);
		while ($row = mysql_fetch_array($result))
		{
			print("<H4>".$row['tytulnewsa']."</H4><P>".$row['trescnewsa']."</P>");
		}
		print("<table><tr><Td>Homepage by Zenek</td><td>PHP powered, MySQL in</td><td>stronę wygenerowano w 0,00001".rand(1, 10)."sek</td></tr></table>");
	}
?>

MySQL wrzucony na ruszt, ale jak widać najpiękniejszy jest minimalizm, więc po co używać go w nadmiarze. Poza tym, warto wspomnieć o szybkości wygenerowania strony. Zenek robił testy odpalając stoper na komórce i generalnie wynik oscylował wokół 0,00001 sekundy, więc jak widać skrypt pędzi jak Robert Kubica na szybkim okrążeniu.

Profil informatyczny

Na czas 3. klasy gimnazjum PHP rzucamy ewidentnie do kosza. Musimy się dostać do wymarzonego liceum, a żeby to zrobić nie wystarczy napisać na teście gimnazjalnym exit();. Po jako takim zakończeniu roku przychodzi wreszcie czas na działalność w branży. Od kumpla Zenek dostaje kilka adresów blogasków, szczególnie podoba mu się blog Patrysa, bo koleś ma fajną chustę i twierdzi, że teraz programuje w Pythonie, bo PHP jest dla lamerów. Na Zenku deklaracja ta robi kolosalne wrażenie. Odtąd czyta tego bloga namiętnie, chociaż nic nie rozumie.

Wakacje to także czas na zarobek. W Wiadomościach zestawili pensje i wychodzi z tego, że informatyk zarabia najwięcej. Zenek stwierdza z ulgą, że jego wybór ścieżki życiowej był słuszny. Teraz trzeba zarobić co nieco na nowego kompa. Ale kto by tam szukał czegoś na mieście? Na Webhelpie jakieś K2 szuka webdeveloperów z doświadczeniem. Zenon ma trochę obaw, bo nie wie co to SVN i OOP, ale 3-letnie doświadczenie zawodowe powinno zrobić wrażenie na włodarzach firmy. Nie zrobiło, młodziak czekał 3 tygodnie na e-maila, ale nic z tego. Cóż, nie załamujmy się! Ojciec mówił niedawno, że jego znajomy chciałby stronkę…

Życie jest nowelą

Po studium informatycznym, Zenon znalazł robotę jako informatyk w Urzędzie Gminy. Planuje co prawda otworzyć własną firmę wykonującą aplikacje WWW, ale to melodia przyszłości. W końcu dobrze pracuje się na frilansie i aktualizuje swojego blogaska na joggerze…

W międzyczasie Zenon dostaje zlecenie od bardzo znanej instytucji zajmującej się wirtualną rozrywką. Szykuje się ostra kasa, bo zdążył sobie przez te kilka lat wyrobić renomę, robi też trochę w grafice, więc zawsze to dodatkowy skill. Po miesiącu ostrego klepania w wolnym czasie, Zenon skasował kilka tysiaków i kupił sobie to i tamto. No i kredyt spłacił. Teraz jego strony wyglądają tak:

<?php
if ($url_0 == 'galeria' && is_numeric($url_1)) {

mysql_query("UPDATE `gallery` SET `gallery_views` = `gallery_views` + 1 WHERE `gallery_id` = '$url_1'");
$galeria_sql = mysql_fetch_array(mysql_query("SELECT * FROM `gallery` WHERE `gallery_id` = '$url_1'"));

$start = $galeria_sql['gallery_name_start'];
$koniec_wlas = $galeria_sql['gallery_name_stop'];
$ile = $koniec_wlas-$start+1;
$koniec = $koniec_wlas;

print '<div class="tekst">
<h4><span class="floatr"><img src="'.$obrazki.'/plus3.gif" alt="photos" width="5" height="5" class="plus" /> '.$lang['zdjec'].': '.$ile.'</span><img src="'.$obrazki.'/ikony/mpg.gif" alt="Galeria" /> <a href="'.$link_glowy.'galeria/'.$galeria_sql['gallery_id'].'/">'.$galeria_sql['gallery_title'].'</a></h4>
<div class="tresc">
<table border="0" width="400px" align="center" style="border:1px solid #cccccc" frame="vsides"><tr><ul class="zdjecia">'."\n";
//width="'.($rozmiar[0]).'" height="'.($rozmiar[1]).'" $rozmiar = getimagesize($galeria_sql['gallery_url'].$i.'m.jpg');
for ($i=$start; $i<=$koniec; $i++) {
echo '<td width="100px" align="center" style="padding:5px"><a href="'.$galeria_sql['gallery_url'].$i.'.jpg" rel="lightbox" title="#'.$i.'" class="slideshow"><img src="'.$galeria_sql['gallery_url'].$i.'m.jpg" alt="#'.$i.'" /></a></td>';
if (empty($i%3)) { echo "</tr><tr>"; }
}

print '</table></ul>
</div>
</div>';

if (autoryzacja()) {
if (strstr($uzytkownik_poziom_dostep, 'a')) {
print '<div><a href="'.$link_glowy.'administracja/galerie/edytuj/'.$galeria_sql['gallery_id'].'/"><img src="'.$obrazki.'/edytuj.gif" width="15" height="15" alt="Edytuj" /></a> <span class="szary">Wy¶wietleń galerii: '.$galeria_sql['gallery_views'].'</span></div>';
}
}
?>

PHP – nie dla idiotów!

Powyższa anegdotka nie jest przypadkiem. Otóż ostatnio zostałem poproszony o poprawki w powyższym skrypcie. To, co ujrzałem, przeszło moje najśmielsze oczekiwania. Musicie wiedzieć bowiem, że ten kawałek kodu pochodzi z bardzo popularnej strony zajmującej się elektroniczną rozrywką. Pan, który to zrobił, a któremu nie chcę psuć renomy, wyciągnął za to pewnie dość spory kawałek banknotów… Dziś strona co jakiś czas pada, mimo że działa na serwerze dedykowanym z dobrą konfiguracją sprzętową.

A czy Ty zatrudniłbyś Zenka?

EditPlus, to, trzeba powiedzieć jasno, program dla bardziej zaawansowanych koderów. Nie znajdziecie w nim wielu gotowych snippetów, tak, jak to miało miejsce w CoreEditor. Dostępne są za to absolutnie podstawowe, takie jak wstawianie szablonów <script> i tym podobnych. Dobrą wiadomością jest to, że takowe można dodać własnoręcznie. Warto też wspomnieć, że EP nie oferuje edytora WYSIWYG pozwalającego rysować nasze strony.

Biorąc pod uwagę inne edytory, EP wygląda przy nich, jak biedny krewny z Kazachstanu. I, myślę, że o to właśnie tutaj chodzi. EditPlus jest szybki i wydajny. Pozwala zapisać dokumenty w UTF, również z nagłówkiem. EditPlus to fajne formatowanie tekstu – można zmieniać wielkości liter, zmieniać spacje na tabulatory i odwrotnie. Także kolorowanie składni jest w pełni edytowalne. Można zwijać prosto kod, dzięki code folding. Łatwo odróżnimy taby od spacji, a skróty klawiszowe pozwolą nam szybciej poruszać się po dokumencie i dostępnych opcjach.

Kiedy mówisz szybka edycja kodu, myślisz EditPlus! Program pozwala kompleksowo i błyskawicznie dostać się do konkretnych linii kodu, a jego przejrzystość i, paradoksalnie, archaiczny wygląd stawiają go obok NotePada+ na piedestale prostych i bardzo funkcjonalnych edytorów HTML, CSS, JS, a nawet, używając lekkiego nadużycia, PHP.

EditPlus jest programem płatnym, aczkolwiek warto wypróbować jego 30dniową wersję próbną.

–> EditPlus

Kiedy jakiś program zainteresuje mnie czymkolwiek, staram się go przetestować choć przez chwilę. Leniwa ze mnie bestia i z reguły tego typu zabawy kończą się w przeciągu 2-3 minut. Człowiek kliknie tu i tam, by zobaczyć, że nie ma nic nowego i kasuje program z twardego dysku. Z CoreEditor także nie wiązałem większych nadziei, byłem tylko ciekawy, głównie z sentymentu do EdHTML, co takiego oferuje jego oficjalny następca. Tym razem moje “testy” zakończyły się po 10 minutach, co jest wręcz niewyobrażalnym wynikiem, jeśli chodzi o moją osobę. Co prawda nie warto się spodziewać długiej listy pochwał, aczkolwiek należy wyróżnić CoreEditor pod paroma względami.

Pamiętam, że w swojej karierze, kiedy jeszcze XHTML był mgnieniem przyszłości, używałem w większości tagów pisanych wersalikami. Po rewolucji, w związku z którą porzucono tego typu pisownię, miałem niemały kłopot z przekonwertowaniem kodu na małe litery. Co prawda mogłem napisać program robiący to za mnie, ale jakoś nigdy do tego nie doszło, przez co większość stron z tamtego okresu pozostawała w swojej archaicznej postaci. Wielka szkoda, że nie było przy mnie CodeEditora. Między innymi właśnie zmiana tagów na xhtmlowe przykuła moją uwagę na dłużej. CoreEditor robi to bardzo sprawnie, jednym kliknięciem możemy poprawić skutki niewiedzy naszych współpracowników, którzy o XHTML nigdy nie słyszeli.

Co jeszcze utkwiło mi w pamięci z okazji kontaktu z edytorem to możliwość zmiany tego typu potworków: align=”left” na style=”text-align: left;”. Moduł ten jest w wersji beta, więc nie działa jeszcze sprawnie, aczkolwiek sprawił mi miłą niespodziankę.

Poza tym, CoreEditor jest, ku mojemu zdziwieniu, dość “lekki” i nie zabiera dużej ilości pamięci. Nie miałem okazji wypróbować go przy pracy z kilkunastoma zakładkami, bo zabraniała tego wersja demo, aczkolwiek przy mniejszej ich ilości było całkiem sympatycznie.

Standardowo, program Karola zawiera mnóstwo snippetów do wielu języków: php, html, js, czy mysql. Dołączone są też manuale i kursy. Plusem jest też domyślnie, świetne kolorowanie składni. Szczególnie w wypadku PHP. Przynajmniej jeśli o mnie chodzi, bardzo mi się podoba. Gdybym zaczynał, miałbym z pewnością słabe pojęcie o zmianie kolorowania składni, więc zaproponowane, defaultowe rozwiązanie tego problemu byłoby mi na rękę.

Myślę, że dla początkujących CoreEditor to świetny kombajn, pozwalający tworzyć dokumenty w wielu rozszerzeniach i systemach kodowania (utf8 ready!). Co prawda jest to program płatny, przez co liczba potencjalnych użytkowników zniwelowała się na starcie o połowę, ale z racji zawodu warto go okiełznać.

–> CoreEditor