Diskuze: Machr na PHP - Evidence knih
V předchozím kvízu, Online test znalostí PHP, jsme si ověřili nabyté zkušenosti z kurzu.
Toto byla naše první "aplikace" ve škole v prvním ročníku, když jsme
se začali učit php a mysql, teda skoro, my jsme dělali databázi CDéček
. Už se těším až
uvidím pár výtvorů, jak jsem to mohl udělat lépe, nebo jak to vytvořit
dobře v OOP.
Martin Konečný (pavelco1998):1.3.2014 12:06
Hmm, Nette, tak to ti sdraco asi moc neohodnotí.
Používáš na to nějaký dataGrid?
, tak to doufat, abych
už přidal svůj výtvor jenom já 
Neaktivní uživatel:1.3.2014 13:04
Nemyslím si, že se použití Bootstrapu a Nette bude na devbooku nějak
hodnotit. Ale když už jsi
to v tom Nette uhroudil, proč jsi tam dal SimpleRouter? To máš na serveru
zakázaný mod_rewrite?
on tam není SimpleRouter, ale jen sem neudělal routy na ty stránky,
firendly URL nebylo součástí zadání, ale je to jeden řádek v Routru 
Zde je můj výtvor: http://www.arakamus.moxo.cz/…ih/index.php
Je to můj první výtvor v PHP. Určitě to nevypadá přesně podle mých
představ, ale na to že jsem se začal učit PHP ve středu to jde . Login system jsem nestihl udělat
tak každý může editovat knihy podle libosti.
Uživatel sítě :2.3.2014 21:54
Někdo může přiřadit i obrázek, to bych taky chtěl vidět co by tam asi
bylo..
Díky všem za účast, viděl jsem spoustu zajímavého kódu. Snažil jsem se ke všemu něco napsat, ale důkladně projet jednu takovouhle aplikaci by už bylo pomalu na 2 hodiny.
- Ondřej Štorc - Pěkná recyklace Machra na ASP, jen
někam zmizel Harry Potter
Návrhově docela čitelné, ale bez MVCčka, takže se tabulky jen echují. Je
škoda, že ručně kopíruješ do všech podstránek znovu layout, stačilo by
tam dát něco jako require('layout_horni_cast.php'), za to obsah a pod to to
samé pro spodní část. V těch vypisovacích metodách máš XSS, pozor na
to. - Martin Konečný - Vypadá to na závan technologií, které jsem zde ještě nepotkal. Musím uznat, že to máš moc pěkně zvládnuté, události v kontrolerech a dokonce taková jednoduchá DependencyInjection. To je tvůj framework? . Dávat konfig do ini mi přijde nebezpečné, protože jde stáhnout. Samozřejmě ho můžeš zakázat v .htaccess, ale dá se na to snadno zapomenout. Volil bych raději PHP soubor s nějakými konstantami. Tohle se mi fakt líbí, kódu je hodně, snad jsem něco zásadního nepřehlédl.
- Jan Poláček - Hashovat heslo jen do md5 bez soli je jako
kdybys ho nehashoval vůbec
Použij nějakou bytelnější funkci a hlavně používej sůl. Ve třídě
input máš XSS. To vylepšení zdejšího frameworku o metody kontrolerů je
dost dobré, mám radost, že ten seriál k něčemu je a že ho dokážete
takhle upravovat a používat. Asi se od tebe inspiruji a dám metody i do
zdejšího tutoriálu.
- kashpi - Tak sem zmizel ten Harry Potter Pohrál sis s tím hezky, hlavně
přidělování autorů knihám. Jelikož je to Nette, tak nejsem kompetentní k
tomu, abych ti ohodnotil jak správně jeho komponenty používáš, nicméně
mi to připadá velmi dobře zvládnuté.
- Sifler - V kódu máš SQL injekce. Tohle mě dostalo:
$id = $_GET['id'];//nemusíme ošetřovat, víme jistě, že se jedná o číslo
$result = Database::query("
SELECT * FROM books
WHERE id = '$id'
");Když něco bereš ze vstupu, tak tam ti může každý napsat co chce Je jedno, že ten vstup
vyplňuješ ty v odkazu, uživatel si ten odkaz může zkopírovat a změnit id
na 'DELETE * FROM books--. Zapracuj také na názvosloví, třída ListsBooks a
její metoda books(), co takhle BookList a metoda render()?
- Matěj Andrle - SQL injekce.
Placky získávají Martin Konečný (pavelco1998) a michalkasparec. Napište prosím
x adresu a publikujte své výtvory. Na ostatní se těším
příště
Martin Konečný (pavelco1998):3.3.2014 12:28
Děkuji za ohodnocení. Žádný framework si nedělám, popravdě jsem
původně ani netušil, že mi to bude fungovat.
A na .htaccess v konfigu jsem opravdu zapomněl, díky za připomínku.
Ondřej Štorc:3.3.2014 12:32
No jelikoz jsem se PHP zacal ucit ve stredu tak jsem rad ze jsem splacal
aspon toto a ze jsem dostal takove hodnoceni . Jinak gratuluji vitezumm
Uživatel sítě :4.3.2014 8:25
Počkat a toto nestačí snad?
preg_match('/^[[:digit:]]+$/', $_GET['id']) == 1Nic jiné než číslo ti to nepustí..
Ondřej Štorc:4.3.2014 10:08
Když jsem ošetřoval zadání číslice tak jsem použil funkci
is_numeric, připadá mi že to tvoje řešení takové
složité... BTW. nemusíš dávat že se to rovná jedné v podmínce to
znamená že je to true
Uživatel sítě :4.3.2014 10:17
Mě to moc složité nepřijde, klasický regulární výraz. Pokud to
prostě číslo nebude, nemusím ochraňovat SQL injekci a zjišťovat zda
vůbec existuje. To udělám prostě po tom, až mi to zjistí prostě zda jde o
číslo.
Jde mi pouze o to, že tam SQL injekce není..
Martin Konečný (pavelco1998):4.3.2014 13:02
A nebo neifuj a přetypuj tu hodnotu na číslo. Když to nebude číslo,
přetypuje se to na 0. Jeden SQL dotaz ty servery moc nezatíží.
Zobrazeno 37 zpráv z 37.