PHP-ohjelmoinnin perusasioita

talaakso

Olen muun ohjelmoinnin ohessa joutunut/saanut koodata myös php:tä ja päätin vihdoin kirjata muutaman mielestäni oleellisen asian eräänlaiseksi muisti- ja linkkilistaksi, josko tuosta olisi hyötyä myös muille:

http://www.talaakso.fi/suomi/ohjelmointi/php/php-perusasiat.php

En ole mikään alan guru, joten myös tekemistäni virheistä voi oppia :)

6

479

Äänestä

    Vastaukset

    Anonyymi (Kirjaudu / Rekisteröidy)
    5000
    • mikäpäs ettei

      Ihan hieno asia.

      Muutama ehdotus tulee tästä lonkalta vaan mieleen:
      - koska PHP-tulkki ei välttämättä ihan aina toimi (se voi olla kaatunut) niin kriittinen koodi kannattaa ehkä inkludaamalla sijoittaa muualle kuin siihen tiedostoon jota ensisijaisesti kutsutaan niin ettei kriittinen koodi koskaan näy selaimessa (silloinkaan kun PHP-tulkki on poissa pelistä)
      - voi olla hyvä ajatus sijoittaa inkludatut PHP-tiedostot web-juurihakemiston "yläpuolelle" niin että niihin ei pääse ulkopuolelta
      - hakemiston lukitseva tiedosto kuten index.html - vaikka tyhjänäkin - olisi hyvä olla jokaisessa hakemistossa koska se estää hakemiston sisällön tutkimisen suoraan selaimella
      - print_r on kovin hyödyllinen kehittelyssä ja debuggauksessa taulukoiden rakenteen ja sisällön tulostukseen
      - session käyttö

      • talaakso
      • juuret kohti taivasta?

        Tämä ehkä selventää mitä tarkoitin webjuurta ylemmällä hakemistolla

        YLEMPI HAKEMISTO
        |
        --- JEMMA
        | |
        | kriittiset kooditiedostot
        |
        --- WEBJUURI
        |
        webjuuren alla näkyvät tiedostot

        Idea on tässä se että käyttäjän selaimessa voivat näkyä suoraan vain webjuuren alla olevat tiedostot. Käyttäjä ei pääse selaimella webjuuren yläpuolelle, eikä siten pääse myöskään hakemistoon JEMMA. Jos PHP-tulkki on toiminnassa, voi se kuitenkin käyttää myös hakemistossa JEMMA olevia skriptejä. Kun kriittinen koodi on hakemistossa JEMMA niin se ei missään tilanteessa voi näkyä käyttäjän selaimessa.

      • juuret kohti taivasta?
        juuret kohti taivasta? kirjoitti:

        Tämä ehkä selventää mitä tarkoitin webjuurta ylemmällä hakemistolla

        YLEMPI HAKEMISTO
        |
        --- JEMMA
        | |
        | kriittiset kooditiedostot
        |
        --- WEBJUURI
        |
        webjuuren alla näkyvät tiedostot

        Idea on tässä se että käyttäjän selaimessa voivat näkyä suoraan vain webjuuren alla olevat tiedostot. Käyttäjä ei pääse selaimella webjuuren yläpuolelle, eikä siten pääse myöskään hakemistoon JEMMA. Jos PHP-tulkki on toiminnassa, voi se kuitenkin käyttää myös hakemistossa JEMMA olevia skriptejä. Kun kriittinen koodi on hakemistossa JEMMA niin se ei missään tilanteessa voi näkyä käyttäjän selaimessa.

        Minä tyhmä yritin käyttää tuossa yllä välilyöntejä havainnollistamaan tasoja. No eihän ne näy. Kaksi välilyöntiä on täällä sama kuin yksi välilyönti. Pistämpä uusiksi pisteiden kanssa:

        YLEMPI HAKEMISTO
        |
        --- JEMMA
        | ......|
        | ......kriittiset kooditiedostot
        |
        --- WEBJUURI
        ......|
        ...... webjuuren alla näkyvät tiedostot

      • talaakso
        juuret kohti taivasta? kirjoitti:

        Minä tyhmä yritin käyttää tuossa yllä välilyöntejä havainnollistamaan tasoja. No eihän ne näy. Kaksi välilyöntiä on täällä sama kuin yksi välilyönti. Pistämpä uusiksi pisteiden kanssa:

        YLEMPI HAKEMISTO
        |
        --- JEMMA
        | ......|
        | ......kriittiset kooditiedostot
        |
        --- WEBJUURI
        ......|
        ...... webjuuren alla näkyvät tiedostot

        Kiitos vielä noista kommenteistasi, laitan ne oman sivuni loppuun jonkinlaiseen "kommentteja"-osioon, jos et tuota kiellä.

        Muotoilen nyt tuon yllä olevan hakemisto asian vielä "tavallisella unix/linux-kielellä":

        Monesti nettisivujen palvelimelle logatessa ollaan omassa juurihakemistossa, jossa on nettisivuja
        varten olemassa hakemisto (aina ei näin ole)

        public_html

        Yleensä tuon public_html-hakemiston ja sen alihakemistojen sisältö on "yleistä riistaa" eli näkyvät netissä.

        Jos siis haluaa tehdä php/shell-skriptejä, jotka hoitavat esim. tilapäistiedostojen poistoa tai sisältävät arkaluoteista tietoa esim. tietokantojen loggaustietoja niin nämä olisi tietoturvasyistä syytä sijoittaa tuon public_html (tai vastaavan hakemiston) yläpuolelle.

        Esim. juurihakemistossa hakemistoon bin

        bin
        public_html

        Lisäksi unix/linux-ympäristössä on aina syytä olla tietoinen tiedostojen/hakemistojen oikeuksien määräämisestä chmod-komenolla.

        Lisätietoja:
        man chmod

        Jos kuitenkin päättää lisätä nettisivuilleen arkaluonteista materiaalia tai ns. jäsenmateriaalia, niin aloittelijoille (kuten itselleni) näkisin tuon monen palveluntarjoajan tukeman salasanasuojattujen kansioiden käytön (htpasswd) järkevänä systeeminä. Omiin ex. tempore käyttäjätunnus/salasana viritelmiin kun usein jää etenkin alottelijoilla pahojakin tietoturva-aukkoja. Ja toisaalta miksi keksiä pyörää uudestaan...

        Tosin en tiedä onko tuo salasanasuojettujen kansioiden systeemi sitten "täysin" aukoton systeemi, mutta varmasti turvallisempi kuin useimmat nopeasti kyhätyt systeemit.

      • HNInfo
        talaakso kirjoitti:

        Kiitos vielä noista kommenteistasi, laitan ne oman sivuni loppuun jonkinlaiseen "kommentteja"-osioon, jos et tuota kiellä.

        Muotoilen nyt tuon yllä olevan hakemisto asian vielä "tavallisella unix/linux-kielellä":

        Monesti nettisivujen palvelimelle logatessa ollaan omassa juurihakemistossa, jossa on nettisivuja
        varten olemassa hakemisto (aina ei näin ole)

        public_html

        Yleensä tuon public_html-hakemiston ja sen alihakemistojen sisältö on "yleistä riistaa" eli näkyvät netissä.

        Jos siis haluaa tehdä php/shell-skriptejä, jotka hoitavat esim. tilapäistiedostojen poistoa tai sisältävät arkaluoteista tietoa esim. tietokantojen loggaustietoja niin nämä olisi tietoturvasyistä syytä sijoittaa tuon public_html (tai vastaavan hakemiston) yläpuolelle.

        Esim. juurihakemistossa hakemistoon bin

        bin
        public_html

        Lisäksi unix/linux-ympäristössä on aina syytä olla tietoinen tiedostojen/hakemistojen oikeuksien määräämisestä chmod-komenolla.

        Lisätietoja:
        man chmod

        Jos kuitenkin päättää lisätä nettisivuilleen arkaluonteista materiaalia tai ns. jäsenmateriaalia, niin aloittelijoille (kuten itselleni) näkisin tuon monen palveluntarjoajan tukeman salasanasuojattujen kansioiden käytön (htpasswd) järkevänä systeeminä. Omiin ex. tempore käyttäjätunnus/salasana viritelmiin kun usein jää etenkin alottelijoilla pahojakin tietoturva-aukkoja. Ja toisaalta miksi keksiä pyörää uudestaan...

        Tosin en tiedä onko tuo salasanasuojettujen kansioiden systeemi sitten "täysin" aukoton systeemi, mutta varmasti turvallisempi kuin useimmat nopeasti kyhätyt systeemit.

        Mitä itse olen käyttänyt niin PHP-tiedostoissa jos käyttää esim. tietokantojen tietoja sisältäviä salasanatiedostoja, niin kannattaa tehdä esim. näin linux/unix -järjestelmässä:
        Jos www-juuri on /home/user/public_html, sijoittaa tiedoston paikkaan /home/user/.(random), jossa (random) on satunnainen merkkijono, joka ei ole arvattavissa normaalisti. Piste hakemiston edessä piiloittaa sen järjestelmässä normaalista tiedostolistauksesta.
        Itse PHP-scriptissä hakee liittää tiedoston käyttöön komennolla @include('/home/user/.random/.random'); jossa tiedostonnimikin on satunnaisesti luotu, samalla tapaa kuin hakemiston nimikin.
        @ merkki estää tiedoston liittämisessä tapahtuvien virheiden näkymisen selaimessa, jos virheet on asetettu näkymään.

    Ketjusta on poistettu 0 sääntöjenvastaista viestiä.

    Takaisin ylös

    Luetuimmat keskustelut

    1. Ja taas ammuttu kokkolassa

      Kokkolaisilta pitäisi kerätä pois kaikki ampumaset, keittiöveitset ja kaikki mikä vähänkään paukku ja on terävä.
      Kokkola
      72
      6348

    2. Mitä siellä ABC on tapahtunut

      Tavallista isompi operaatio näkyy olevan kyseessä.
      Alajärvi
      138
      5772

    3. Helena Koivu on äiti

      Mitä hyötyä on Mikko Koivulla kohdella LASTENSA äitiä huonosti . Vie lapset tutuista ympyröistä pois . Lasten kodista.
      Kotimaiset julkkisjuorut
      486
      3654

    4. Ovatko naiset lopettaneet sen vähäisenkin vaivannäön Tinderissa?

      Meinaan vaan profiileja selatessa nykyään valtaosalla ei ole minkäänlaista kirjoitettua tekstiä siellä. Juuri ja juuri s
      Nettideittailu
      120
      2059

    5. Kuvaile elämäsi naista

      Millainen hän on? Mikä tekee hänestä sinulle erityisen?
      Ikävä
      39
      1361

    6. Suomi vietiin Natoon väärin perustein. Viides artikla on hölynpölyä. Yksin jäämme.

      Kuka vielä uskoo, että viides artikla takaa Suomelle avun, jos Suomeen hyökätään. Liikuttavasti täällä on uskottu ja ved
      Maailman menoa
      402
      1345

    7. Et ilmeisesti aio enää ikinä olla tekemisissä

      Että näinkö se menee
      Ikävä
      73
      1173

    8. Sydämeni on sinun luona

      Koko ajan. Oli ympärilläni ketä oli niin sinä olet vain ajatuksissa ja tunteissa. En halua muiden kosketusta kuin sinun
      Ikävä
      47
      1034

    9. Trump ja Venäjä

      Huomasitteko muuten... Käytännössä ainoat valtiot, joille Trump EI eilen asettanut typeriä tariffejaan, olivat Venäjä ja
      Maailman menoa
      110
      952

    10. Jatkuva stressitila

      On sinun vuoksesi kun en tiedä missä mennään mutta tunteeni tiedän ainoastaan
      Ikävä
      56
      950
    Aihe
    TietosuojaselosteKäyttöehdotEvästeasetuksetSäännöt