Weblabor

Az előző cikkben megnéztük, miért van szükségünk egy webes alkalmazás során munkamenet kezelésre, s hogy hogyan használhatjuk ezt PHP esetén. Ebben a cikkben először körüljárjuk, hogy általában milyen támadási módszerek vannak egy felhasználó munkamenetének megszerzésére, majd ennek fényében megvizsgáljuk, hogy hogyan tehetjük biztonságosabbá a PHP saját munkamenet kezelő mechanizmusát. Végezetül szó lesz néhány kiegészítési lehetőségről, valamint pár hasznos tanácsról a PHP munkamenet kezelésével kapcsolatban.

A cikksorozat ötödik részében a két héttel ezelőtti témát folytatjuk, azaz tovább haladunk a tulajdonságok terén. Még mindig igaz: ha ki szeretnénk próbálni a bemutatottakat, csak a legújabb böngészőkkel próbálkozzunk, különben esélyünk sincs. És ha így teszünk, akkor sem minden esetben fogunk sikerrel járni, ezek a tulajdonságok újdonságnak számítanak még manapság is, a szabvány megjelenése után több évvel. De félre a mellébeszéléssel, vágjunk neki a tulajdonságokat bemutató utolsó résznek!

Honlapunk készítésekor - ha szempont, hogy mindenki számára elérhető tartalmat nyújtson -, egyik fontos dolog, hogy gondolnunk kell a gyengénlátókra is. Ebben a cikkben ennek egyik következményét, az oldalon található szövegek betűméretének állítását lehetővé tevő megoldást mutatok be, mellyel lehetővé tehetjük, hogy a felhasználóink kiválaszthassák, mekkora betűkkel szeretnék olvasni szövegeinket. Ezt Javascripttel, sütikkel és egy kis CSS-sel fogjuk megvalósítani, úgy, hogy a böngésző emlékezzen a kiválasztott méretre, csak egyszer kelljen beállítani.

Az SQL adatbázisok használatba vétele során a legelső lépés az adattáblák szerkezetének (mezők és relációk) megtervezése úgy, hogy az illeszkedjen a várható lekérdezésekhez. Sajnos az adatbázisok tényleges létrehozása során sokan kihagyják a jogosultságok megfelelő beállítását és ellenőrzését. A kisebbik rossz, ha kevesebb jogot kaptunk, mert azt azonnal észrevesszük, amint dolgozni szeretnénk. Komolyabb problémát okozhat, ha több jogot kaptunk, mert egy elgépelt utasítás belerondíthat mások adatbázisába is ahelyett, hogy hibaüzenetet kapnánk.

Sokszor felmerül a PHP levelezőlistán, hogy valaki szeretne PHP segítségével HTML levelet, csatolmányokat, HTML levélben képeket küldeni. Cikkemben először a mail() függvény alapjait veszem sorra. Kiderül, hogy néhány fontos paraméter beállítására is lehetőségünk van segítségével, ráadásul akár HTML levelet is igen egyszerűen küldhetünk a segítségével - ha nem gondolunk a szöveges alternatívát igénylő olvasókra. Persze ha többet szeretnénk, akkor jobban tesszük, ha nem találjuk fel a kereket, és a rengeteg lehetőség közül egy olyan kész megoldást választunk, mellyel még több is könnyedén megoldható.

Sokéves PHP levelezőlistás tapasztalatom alapján nyugodtan kijelenthetem, hogy a PHP nyelvvel ismerkedők számára az egyik legnagyobb misztérium a munkamenet kezelés. Pedig valójában egy nagyon egyszerű és gyakran nélkülözhetetlen eszközről van szó, mint ezt a következőkben reményeim szerint kiderül. Cikkem első részében a munkamenet kezelés alapjairól lesz szó, míg a következő részben a biztonság kérdését boncolgatjuk majd, megtudhatjuk, milyen fenyegetettségek léteznek a munkamenet kezeléssel kapcsolatban, és hogyan védekezhetünk ez ellen.

Az egyszerű prospektus alapú webhelyektől eltekintve szinte nincs olyan oldal, ahol ne lenne felhasználó regisztrációra szükség. Sokan sokféleképpen közelítik meg az új tagok bevonására szolgáló felület és a háttérprogram kialakítását. Amikor egy felhasználót szeretnél regisztrálni, rengeteg mindenre kell(ene) odafigyelned. Ebben a cikkben ötleteket próbálok nyújtani, hogy hogyan a legcélszerűbb az adatokkal bánni, melyeket valószínűleg egy adatbázisban fogod tárolni, mivel a normál állományok nem elég biztonságosak. A PHP és MySQL kombinációja megfelelő eszközöket ad a kezedbe akár egy komplett portál megírásához is.

Cikkemben néhány tippet, ötletet szeretnék adni a biztonság témájában. Ez a kérdés sajnos nem volt központi fontosságú, amikor a PHP még gyerekcipőben járt, ezért nem árt néhány olyan beállítással illetve technikával megismerkedni, amelyek ezeket a - részben máig megmaradt - problémákat segítenek megoldani. Az operációs rendszer jogosultságainak megfelelő beállításával és az Apache illetve a PHP néhány opciójának jó megválasztásával sok kellemetlenségtől megkímélhetjük magunkat. Írásom csak kisebb áttekintés az általam legfontosabbnak ítélt dolgokról, bővebb információt a PHP kézikönyv, és a megadott források nyújthatnak.

Ha az ember e-mail címe valahogy, valahol megjelenik az interneten, bizony egyre több kéretlen reklámlevelet fog kapni. Ha belenyugszunk ebbe, akkor a közeljövőt tekintve csak a helyzet romlására számíthatunk, ezért érdemes valamit tenni a begyűjthetőség elkerülése érdekében. Védekezni azonban egyre nehezebb, és az e-mail címünk váltogatása havonta nem mindig a legjobb módszer. Cikkemben egy saját fejlesztésű, viszonylag egyszerű, de a lehetőségekhez képest hatékony védelmi lehetőséget mutatok be, amivel itt a Weblaboron is védjük a megjelenő e-mail címeket.

A cikksorozat következő részében tovább ismerkedünk a CSS fortélyaival, további tulajdonságok kerülnek napirendre. Szó lesz a láthatóságról, megjelenítési lehetőségekről és a CSS alapú oldalak kialakításánal leginkább fontos pozícionálásról és lebegtetésről egyaránt. Ahogy az előző cikkben, itt is igaz: az alább bemutatottak többnyire csak a legújabb böngészőkben fognak működni (sőt, előfordul, hogy még azokban sem)!