W niezbędniku prawie każdego blogera leży możliwość menadżerowania swoimi kanałami RSS, bądź Atom. Któż z nas nie zna FeedBurner’a?. Zestawu narzędzi ułatwiających nam, czy to udostępnianie użytkownikom możliwości subskrypcji treści naszej strony, czy po prostu możliwość przejrzenia lub zamieszczenia statystyk w naszym serwisie. Pomimo dostarczonego API nie znajdziemy jednak bezpośrednio w panelu FeedBurner’a kodu pozwalającego na umieszczenie samej liczby subskrybentów bloga. I rozwiązanie tego, pozornie błahego problemu postaram się Wam dziś przedstawić…

Stary, dobry FeedBurner.com…

Niespełna dwa lata temu słynny serwis zajmujący się obsługą kanałów RSS został przejęty za sto milionów dolarów przez Google. Pomimo tego, że minęło aż tyle czasu wielu blogerów nadal korzysta z zasobów starego, wysłużonego, pierwotnego FeedBurner’a. I co może wydawać się dziwne, to właśnie oni mają najbardziej ułatwioną sytuację.

Zarówno stara, jak i nowa odsłona serwisu oferują usługę FeedCount dostępną z poziomu menu Publicize. Pozwala ona na dobranie typu wbudowanego tła wyświetlającego ilość subskrybentów (statyczne, bądź animowane) oraz na dobranie jego barwy i koloru tekstu. Wraz z ustawieniem tych parametrów otrzymujemy kod HTML do wstawienia na naszą stronę. I tu rodzi się problem. Prócz kilku stylistycznych zmian wygląd tychże “chickletów” jest zawsze taki sam i najczęściej nijak pasuje do designu naszego bloga. Co zrobić jeżeli np. chcemy wraz z tekstem przycisku odnoszącego użytkowników do wygenerowanego kanału wstawić także ilość osób śledzących naszą stronę?

Rozwiązanie zaprezentuje na podstawie użytkowania platformy Wordpress (oczywiście ilość subskrybentów – opierając się na dalszym tekście – można zamieścić w każdym innym systemie zarządzania treścią, bądź nawet na własnej, prywatnej stronie). W takim wypadku wystarczy zainteresować się wtyczkami FeedSmith 2.3 (polska wersja) (wg. developerów Wordpress’a kompatybilną ze wszystkimi wersjami 2.x) i Feed Count 1.2 (polska wersja). Pierwsza z nich niezbędna jest do obsługi kanału RSS przez serwis FeedBurner.

Jej instalacja oraz rejestracja w serwisie jest niezbędna do działania drugiej z nich. Jak wykonuje się instalacje wtyczek? Wystarczy wyodrębnić z archiwum odpowiednie pliki (w naszym pierwszym przypadku będzie to FeedBurner_FeedSmith_Plugin.php, w drugim feedcount.php) i umieścić je w katalogu wp-content/plugins/ systemu Wordpress. Następnie wtyczki należy zaktywować w panelu administratora (Wtyczki / Nazwa wtyczki / Włącz).

Obydwa pluginy należy dodatkowo skonfigurować w zakładce Ustawienia. Pierwszy z nich swoje opcje ukrywa w podmenu FeedBurner. Zobaczycie tam dwa pola do uzupełnienia, jedno wymagane, drugie opcjonalne. Pierwsze z nich to pełny odnośnik do feedu strony w serwisie FeedBurner (i dla starej odsłony, i dla nowej na serwerach Google), a drugi to link do kanału RSS komentarzy.

Konfiguracja wtyczki FeedSmith w panelu.

Co do drugiego rozszerzenia to działa ono dla wersji 2.x Wordpress’a, z tymże przy najnowszej 2.7x może sprawiać problemy natury zwracania wyniku w postaci N/A zamiast poprawnej wartości.

Konfiguracja wtyczki Feed Count w panelu.

Rozszerzenie to także należy dodatkowo skonfigurować. Robimy to w panelu poprzez menu Ustawienia / Feed Count. W jej opcjach trzeba podać co najmniej adres kanału (Feed Url) w postaci nazwy kanału na FeedBurner’ze, częstość aktualizowania ilości subskrybentów (Update interval) oraz częstość aktualizacji po wystąpieniu błędu (Update interval (recovery)). Pozostałe pola nie są wymagane. Link url to adres odnośnika pojawiającego się na zwróconej przez skrypt ilości osób śledzących stronę. Before za to jest treścią pojawiającą się przed liczbą w.w. użytkowników, a After to treść po.

Po wykonaniu konfiguracji należy jeszcze w strukturze szablonu strony dodać odpowiedni kod.

<?php if (function_exists('fc_feedcount')) fc_feedcount(); ?>

Wstawić go musimy w miejscu w którym chcemy wyświetlać wystylizowaną liczbę użytkowników RSS (plugin ten nie zwraca tylko liczby otaczając ją poprzez dodatkowe tagi HTML). Oczywiście możemy go modyfikować. Jeżeli chcielibyście np. wyświetlić go w odnośniku (w header.php) o nazwie RSS w dodatkowych nawiasach to możecie to zrobić w następujący sposób:

<?php
if (function_exists('fc_feedcount'))
{
	print ' (' . fc_feedcount() . ')';
}
?>

No i ostatecznie musicie w panelu FeedBurner’a (nie wtyczki, a profilu w serwisie w którym zakładaliście konto) zezwolić wtyczce na działanie z API tegoż serwisu. Wystarczy wejść do zakładki Publicize, a następnie do menu Awareness API i zaktywować tą funkcjonalność.

Wtyczka Feed Count 1.2 dla Google FeedBurner!

Jeżeli zdecydowaliście się jednak na migracje z starych serwerów serwisu, na ultraszybkie i megafajne klastry Google, a wcześniej trafnie stosowaliście w.w. metodę do wyodrębniania liczby użytkowników to prawdopodobnie będzie ona także działać po przejściu na feedburner.google.com.

Trzeba jednak w takim wypadku dokonać pewnych, małych zmian w kodzie wyżej opisywanej wtyczki Feed Count. W tym celu edytujemy plik feedcount.php (np. poprzez Notepad++ lub ZendStudio). Przechodzimy w okolice 41 linii w celu odnalezienia następującego kodu.

		  'map_fc_queryurl' =>'http://api.feedburner.com/awareness/1.0/GetFeedData?uri=',

Co można zauważyć element tablicy o nazwie przed => wskazuje na adres dostępowy do API, ale feedburner.com. A my przecież chcemy korzystać już z API Google. W tym celu należy tą linijkę zmienić niżej wymienionym kodem, po czym zapisać plik i ponownie wysłać go na serwer.

		  'map_fc_queryurl' =>'https://feedburner.google.com/api/awareness/1.0/GetFeedData?uri=',

C… bombki strzelił! Jedyne co otrzymuje w wyniku to ten niewdzięczny “N/A”…

Po pierwsze musicie sprawdzić czy biblioteka cURL (Client URL Library Functions) jest dostępna w konfiguracjach Waszych serwerów (jako pakiet PHP). W tym celu wystarczy stworzyć jakikolwiek plik o rozszerzeniu .php, wypełnić go poniższym kodem i wywołać na hipotetycznie problematycznym serwerze.

<?php
phpinfo();
?>

W wylistowanych wynikach wystarczy poszukać wpisu cURL support i sprawdzić, czy jego flaga ustawiona jest na enabled. Jeżeli nie, to właśnie znaleźliście przyczynę problemu. Powyższa, kluczowa dla nas wtyczka oparta jest na tym libie, a co za tym idzie jego brak powoduje niemożność poprawnego wykonania kodu tego rozszerzenia.

Diagnoza problemu: cURL…

Kiedy zawodzą dostępne już rozwiązania najlepszym sposobem na pozbycie się własnego problemu jest… napisanie indywidualnej solucji. Niestety to wiążę się najczęściej z jedną z dwóch rzeczy. Albo z posiadaniem konkretnej wiedzy odnośnie danego problemu, albo z wydatkiem związanym z opłaceniem osoby która rozwiąże Waszą dolegliwość.

Jeżeli dotarliście do tego punktu tzn. że nadal nie uzyskaliście pożądanego efektu. Pora więc właśnie na w.w. sposób, z tymże ja dla Was przygotuję go w stu procentach… za friko :] Mógłbym Wam zaprezentować kilkulinijkowy sposób, bo praktycznie do tego ogranicza się rozwiązanie – pytanie po co? Blog ten ma uczyć, dlatego postaram się Wam przedstawić dwie metody pobierania potrzebnych nam danych które po lekkim tuningu złożą się w jedną, w pełni funkcjonalną wtyczkę napisaną specjalnie na potrzeby tego artykułu. I w gruncie rzeczy będzie to najbardziej optymalne rozwiązanie ze wszystkich tutaj przedstawionych…

Przypadek numer jeden: brak możności użytkowania cURL’a. Jak to w życiu bywa, jak nie da wejść się jednym oknem, trzeba próbować drugim. Sposobów jest wiele, ja wybiorę użycie funkcji file_get_contents. Zaimplementowana jest ona w PHP od wersji 4.3 i dodatkowo do jej działania konfiguracja serwera musi zezwalać na zdalne (z zewnętrznych źródeł) pobieranie plików. Trik który zastosujemy ogranicza się kolejno do:

• pobrania danych z adresu FeedBurner’a korzystając z udostępnionego przez niego API,
• sprawdzenia czy odebrane dane są poprawne (pod kątem poprawności adresu i ewentualnych wyjątków),
• wyszukanie frazy circulation=" w posiadanym buforze. Kod który pobraliśmy wcześniej musi być w formacie XML, a co za tym idzie składa się on ze znaczników i parametrów. Właśnie parametr circulation zawiera w sobie wartość będącą ilością subskrybentów,
• jeżeli fraza nie zostanie znaleziona, zwrócenie błędu,
• w przeciwnym razie pobranie ciągu od pozycji wyszukiwanej wyżej frazy + 13 znaków (długość szukanego słowa), aż do znalezienia następnego cudzysłowia (bez niego).

<?php
$buffer = file_get_contents(ADRES_SERWER . NAZWA_KANALU); // pobranie pliku
if ( $buffer === false ) // zwrócenie błędu
{
	print 'n/d';
}

$pre_position = strpos($buffer, 'circulation="'); // wyszukanie pozycji frazy z drugiego argumentu
if ( $pre_position === false ) // w wypadku nieodnalezienia zwrócenie błędu (niepoprawny plik)
{
	print 'n/d';
}
else {
	print substr($buffer, ($pre_position+13), strpos($buffer, '"', ($pre_position+14)) - ($pre_position+13)); // "wypisanie na ekran" zawartości parametru "circulation" z pobranego pliku XML
}
?>

Kiedy problemem nie jest jednak cURL…

<parent>
	<children>raz</children>
	<children>dwa</children>
</parent>

$xml = new SimpleXMLElement(XML);
$found = $xml->xpath('parent/children'); // wyszukiwanie potomka w drzewie dokumentu XML (argument w postaci np. rodzic/potomek/potomek_potomka/itp.)
print_r($found); // wypisanie tablicy wyników

Plugin FeedCount nie zawsze działa na Wordpress’ie 2.7x. Nie pytajcie dlaczego. Szczerze? Nie wiem i nie chciało mi się dociekać co jest tego powodem. Postanowiłem jakiś czas temu spotykając się z tą przypadłością po prostu stworzyć bardziej uproszczony kod, niż ten z popularnej wtyczki. Jak wygląda jego schemat krokowy? Po kolei:

• inicjalizacja cURL,
• ustawienie opcji transferu biblioteki (zwracanie zawartości bez wypisywania jej na ekran oraz wprowadzenie adresu docelowego),
• wykonanie zadania, po czym zniszczenie sesji połączenia,
• sprawdzenie, czy nie występuje znacznik nadrzędny err z parametrem code o wartości 1 (oznaka zwrócenia błędu, najczęściej nieodnalezienia pliku),
• jeżeli powyższy punkt nie okaże się prawdą to utworzenie obiektu SimpleXMLElement i wyszukanie zawartości wyżej już wspomnianego atrybutu circulation.

<?php
$resource = curl_init(); // inicjalizacja
curl_setopt($resource, CURLOPT_RETURNTRANSFER, 1); // bez wypisania na ekran
curl_setopt($resource, CURLOPT_URL, ADRES_SERWER . NAZWA_KANALU); // przekazanie adresu do pobrania
$buffer = curl_exec($resource); // wykonanie
curl_close($resource); // zamknięcie sesji

$xml = new SimpleXMLElement($buffer); // obiekt analizy składni XML
if ( $xml->err['code'] == '1' ) // sprawdzenie wystąpienia błędu
{
	print 'n/d';
}
print $xml->feed->entry['circulation']; // pobranie ilości subskrybentów
?>

Aby bardziej wyjaśnić działanie powyższej partii kodu posłużę się przykładowymi danymi, jakie mogą zostać pobrane.

<rsp stat="ok">
  <!--This information is part of the FeedBurner Awareness API. If you want to hide this information, you may do so via your FeedBurner Account.-->
  <feed id="0ua2berteje16lsipgq0b8uk74" uri="worldclub-pl">
    <entry date="2009-02-13" circulation="1" hits="2" downloads="0" reach="0" />
  </feed>
</rsp>

Można z niego wywnioskować, że odpowiednio operując na klasie SimpleXMLElement moglibyśmy uzyskać identyfikator konta, jego część adresu zwaną w tym artykule po prostu nazwą, datę utworzenia, ilość osób śledzących RSS’a, liczbę kliknięć oraz ściągnięć. Działanie powyższej klasy jest proste. Z kodu XML tworzymy obiekt po którym możemy przesuwać się za pomocą zwyczajnych selektorów. Przykładowo jeżeli chcielibyśmy wyłuskać z powyższego przykładu identyfikator (id) zrobilibyśmy to w następujący sposób:

print $xml->feed['id'];

Pierwszy, główny element rsp jest pomijany w instancji obiektu.

Zasada działania SimpleXMLElement na podstawie kodu pobierania liczby subskrybentów.

Autorska wtyczka finalnym rozwiązaniem naszego problemu!

I tak oto dochodząc do meritum przedstawiam Wam rozszerzenie uproszczone, ale za to bardziej wzbogacone o trzy, moim zdaniem niezbędne funkcjonalności. Easy Feed Counter posiada możliwość łatwej instalacji i konfiguracji poprzez panel administratora. Proces wdrażania tego pluginu jest adekwatny do dodawania opisywanego wcześniej FeedCount (jest także dokładnie opisany w linku powyżej w repozytorium modyfikacji). Pozwala on na ustawienie serwera feedów, metody pobierania statystyk oraz wpisanie nazwy konta kanału RSS na FeedBurner’ze. Opcjonalnie możecie także dodać konto komentarzy na tym serwisie, o ile takowe posiadacie.

Rezultaty działania wtyczki.

Rozwiązanie to ma także jeden wielki, dodatkowy atut. Nie formatuje jak inne pluginy zwracanej treści, a ogranicza się do podania wartości (liczby użytkowników), bądź kodu błędu (n/d). To pozwala na szersze modyfikacje położenia bądź wyglądu wyników po wywołaniu funkcji easyfeedcounter_get([opcjonalny: parametr]) bez dodatkowej ingerencji w sam kod rozszerzenia.

<?php
if (function_exists('easyfeedcounter_get'))
{
	$subscribers = easyfeedcounter_get(1); // argument o wartości 1 wskazuje wtyczce, że ma zwrócić dane dotyczące komentarzy
	if ( is_numeric($subscribers) !== false ) // brak błędów
	{
		print $subscribers . ' osób subskrybuje aktualnie Twoje komentarze!';
	}
}
?>

Bardziej skrupulatne objaśnienie, opisane krok po kroku znajdziecie w moim repozytorium. W przypadku wątpliwości dotyczących tematu, bądź instalacji tego tworu proszę śmiało pytać :]

Coraz więcej różnorodnych stron internetowych korzysta z techniki która w szeroki sposób pozwoliła rozwinąć się przede wszystkim JavaScriptowi – z Ajaxa. Podobnie jest z różnorodnymi wtyczkami do systemu blogów WordPress. Z reguły korzystają one jednak z jakiejś biblioteki JavaScript zbierającej w całość jego najważniejsze funkcje i pozwalającej na ich prostsze użycie. W momencie jednak, kiedy w naszych pluginach pojawi się w użyciu kilka wtyczek możemy napotkać problem kolizji ich współdziałania.

Prolog!

Zanim zacznę muszę wspomnieć, że kolizja opisywana poniżej może występować na jakiejkolwiek stronie, a opisywana przeze mnie sytuacja jest tylko przykładem. Nie mniej jednak mankament ten postaram się wytłumaczyć na podstawie jednoczesnego działania AJAX Comments i przystosowanej do personalnych potrzeb modyfikacji zakładek (przykładem są te umieszczone z lewej strony tego wpisu). Pierwsza wtyczka domyślnie używa Script.Aculo.Us, a co za tym idzie także frameworku Prototype. W drugim wypadku oprę się o kurs tworzenia zakładek w WP palmiaka, który używa za to jQuery.

Po poprawnej instalacji obydwu modyfikacji pewnie spora część z Was nie dostrzeże dręczącego nas feleru. Dlaczego? Gdyż na stronie głównej wszystko będzie działało prawidłowo, ale bynajmniej nie na podstronach w których będzie możliwe komentowanie wpisów. Dla przykładu w momencie wczytania najpierw prototype.js i scriptaculous.js, a później jquery.js stworzone przez nas zakładki nie będą poprawnie działać (nie zostaną one ukryte i nie będzie możliwości przejścia pomiędzy nimi). Dlaczego tak się dzieje? Tutaj należałoby poruszyć pewną sprawę dotyczącą samego działania frameworków tego typu.

Funkcja $(argumenty)

Między innymi do tworzenia obiektu danej biblioteki używa się funkcji $(argumenty);. Dzięki temu operujące np. na obiektach DOM, czy tablicach frameworki dzięki tej specjalnej konstrukcji pozwalają użytkownikowi na wykorzystywanie ich konkretnych funkcji.

Problematyka korzystania z więcej niż jednej biblioteki naraz…

W momencie kiedy w skrypcie korzystamy z dwóch lub większej ilości frameworków może nastąpić kolizja w ich działaniu. W uproszczeniu przez użycie $(); w każdej z nich. I tak to w naszym przykładzie funkcje, czy odwołania do obiektów które powinny być wykonane za pomocą jQuery zostaną wykonane przez pierwszą wczytaną klasę. A wszystko przez to, że każda z podanych bibliotek odwołuje się do danego elementu w taki sam sposób.

Solucja!

Na szczęście od wersji 1.1.4 z pomocą przychodzą nam developerzy jQuery wraz z funkcją pozwalającą na interoperacyjność – jQuery.noConflict(param);.

jQuery.noConflict(); // zwraca kontrolę nad $ bibliotece domyślnej (wcześniej używanej)
jQuery.noConflict(true); // zwraca kontrolę nad $ i jQuery (którego $ jest aliasem) oryginalnemu właścicielowi - należy używać z ostrożnością!

Co należy wiedzieć w kwestii używania tego to przede wszystkim fakt, że wymaga się, aby powyższą funkcję wywołać przed użyciem elementów innych bibliotek, a także jQuery powinno być wczytywane po pozostałych frameworkach. W konkretnym wypadku związanym z WP który opisujemy należy także domyślnie dostarczone niżej wymienione biblioteki uaktualnić. Niestety w opisywanych tutaj wtyczkach i systemie blogów są to wersje starsze i przedstawiony trick w tym artykule nie zadziała dopóki nie ściągniemy zaktualizowanych wersji frameworków.

<script type="text/javascript" src="libs/prototype.js" />
<script type="text/javascript" src="libs/scriptaculous.js" />
<script type="text/javascript" src="libs/jquery.js" />

Domyślnie także należy używać w tym trybie jQuery zamiast $.

jQuery.noConflict();
jQuery("p").hide(); // użycie frameworka jQuery
$("div").style.display = 'none'; // użycie innego frameworka, np. prototype

Ponieważ oczywiście zaprezentowana funkcja jest podatna na przypisywanie do zmiennych to niekoniecznie musimy używać standardowej, dłuższej nazwy. Negatywem tego rozwiązania jest jednak potencjalny konflikt nazw w przypadku pisania aplikacji internetowej przez wielu programistów.

var q = jQuery.noConflict();
q("p").hide();
$("div").style.display = 'none';

Ostatecznie moglibyście także spytać “co zrobić, aby móc wewnątrz bloku kodu używać $ dla jQuery?”. Wystarczy poprzedzić zadaną funkcję przez jQuery, bądź zakończyć poprzez (jQuery).

jQuery(function($) { [...] }); // wersja pierwsza
(function($) { [...] })(jQuery); // wersja druga

Niestety w takim wypadku wewnątrz powyższych bloków kodu nie ma możliwości odniesienia się do obiektów innych bibliotek.

Przykład pozwalający na prawidłowe działanie wspomnianych zakładek…

Poprawiony przykład z vivee, który należy użyć w wypadku w.w. konfliktu (kod JavaScript).

jQuery.noConflict();

function tabs(id) {
	jQuery("#"+id+" h2:first a").addClass("active");
    jQuery("#"+id+" div").not(":first").hide();

    jQuery("#"+id+" h2 a").click(function() {
    	var licznik = jQuery("#"+id+" h2 *").index(this);                                             

        jQuery("#"+id+" h2 a").removeClass("active");
        jQuery(this).addClass("active");
        jQuery("#"+id+" div:visible").hide();

        jQuery("#"+id+" div").eq(licznik).show();
        return false;
    });
}

jQuery(document).ready(function(){
    tabs("zakladki");
});

Epilog…

WPNinja na swoim blogu poświęconym WordPressowi prawidłowo stwierdził w stosunku do mojej osoby, że mieszanie bibliotek nie jest dobrym zwyczajem.

"@m1chu,
Mieszanie ze sobą bibliotek to masakra. Nie dość, że zajmuje to niemiłosiernie dużo miejsca to, jak zauważyłeś w swoim artykule, może powodować konflikty."

Opisany przeze mnie artykuł powinien być stosowany tylko w wyjątkowych sytuacjach. Należy z reguły unikać użytkowania kilku frameworków naraz, bo to obciąża w znacznym stopniu skrypt poprzez ich wagę, a co za tym idzie ilością danych do załadowania. Zdaję sobie jednak sprawę, że niekiedy jest to niezmiernie trudne (czego jak na razie w fazie rozwojowej przykładem jest mój blog ;]). Podziękowania za przypomnienie dla WPNinja’y o tym, że zapomniałem tak ważnego faktu umieścić w swoich wpisie.

Dla przykładu podam kilka konkretnych błędnych elementów kodu wraz z jednym z rozwiązań poprawkowych. Dodam na wstępie, że wszelkie podane bugi dotyczą elementu tablicy globalnej o nazwie mode lub folder występujących w kilku osobnych plikach. Kolejno – privmsg.php standardowo może przyjmować domyślnie w tym elemencie wartości takie jak birthday, newpm, czy read. Co jeśli ktoś zażyczy sobie np. dla testu przekazać wartość w postaci elementu tablicy?

if ( !empty($HTTP_POST_VARS['mode']) || !empty($HTTP_GET_VARS['mode']) )
{
	$mode = ( !empty($HTTP_POST_VARS['mode']) ) ? $HTTP_POST_VARS['mode'] : $HTTP_GET_VARS['mode'];
	$mode = htmlspecialchars($mode);
}
else
{
	$mode = '';
}

To kod odpowiadający za podstawowe filtrowanie wprowadzanych danych. Niestety nie sprawdza się on w wypadku, gdy w adresie forum wprowadzimy np. poniższy adres:

/privmsg.php?mode[]=1,2,3

Niby w tym przykładzie oprócz wizualnych większych szkód nie ma, nie mniej jest to bug. Teoretycznie można by wprowadzić dwa rodzaje korekt w tym kodzie. Jeden w stylu mojego ostatniego wpisu z tej tematyki, a mianowicie:

if ( is_array($HTTP_POST_VARS['mode']) || is_array($HTTP_GET_VARS['mode']) )
{
	$mode = '';
}
else if ( !empty($HTTP_POST_VARS['mode']) || !empty($HTTP_GET_VARS['mode']) )
{
	$mode = ( !empty($HTTP_POST_VARS['mode']) ) ? $HTTP_POST_VARS['mode'] : $HTTP_GET_VARS['mode'];
	$mode = htmlspecialchars($mode);
}
else
{
	$mode = '';
}

Dodałem w tym wypadku po prostu pierwszy warunek który sprawdza czy przesyłane przez $_GET lub $_POST wartości nie są tablicą, a jeżeli są to zmienna $mode staje się pusta. Jest to o tyle bezpieczna wersja poprawki, że wyklucza przekazywanie jakichkolwiek tablic w tym przypadku. Druga wersja poprawki to taka, która pozwala na przekazywanie tablic, ale filtruje je w taki sposób, aby odebrane przez skrypt były jako string.

if ( is_array($HTTP_POST_VARS['mode']) || is_array($HTTP_GET_VARS['mode']) )
{
	$mode = ( !empty($HTTP_POST_VARS['mode']) ) ? $HTTP_POST_VARS['mode'] : $HTTP_GET_VARS['mode'];
	$mode = htmlspecialchars($mode[0]);
}
else if ( !empty($HTTP_POST_VARS['mode']) || !empty($HTTP_GET_VARS['mode']) )
{
	$mode = ( !empty($HTTP_POST_VARS['mode']) ) ? $HTTP_POST_VARS['mode'] : $HTTP_GET_VARS['mode'];
	$mode = htmlspecialchars($mode);
}
else
{
	$mode = '';
}

Adekwatnie sprawa wygląda w plikach profile.php i modcp.php, a także w privmsg.php w związku z elementem folder. Ciut inna sytuacja występuje za to w posting.php. Tam filtrowane są w pętli wszystkie niezbędne elementy tablic.

$params = array('submit' => 'post', 'preview' => 'preview', 'delete' => 'delete', 'poll_delete' => 'poll_delete', 'poll_add' => 'add_poll_option', 'poll_edit' => 'edit_poll_option', 'mode' => 'mode');
while( list($var, $param) = @each($params) )
{
	if ( !empty($HTTP_POST_VARS[$param]) || !empty($HTTP_GET_VARS[$param]) )
	{
		$$var = ( !empty($HTTP_POST_VARS[$param]) ) ? htmlspecialchars($HTTP_POST_VARS[$param]) : htmlspecialchars($HTTP_GET_VARS[$param]);
	}
	else
	{
		$$var = '';
	}
}

Co możemy zamienić tak jak w pierwszym przypadku na:

//
// Check and set various parameters
//
$params = array('submit' => 'post', 'preview' => 'preview', 'delete' => 'delete', 'poll_delete' => 'poll_delete', 'poll_add' => 'add_poll_option', 'poll_edit' => 'edit_poll_option', 'mode' => 'mode');
while( list($var, $param) = @each($params) )
{
	if ( is_array($HTTP_POST_VARS[$param]) || is_array($HTTP_GET_VARS[$param]) )
	{
		$$var = '';
	}
	else if ( !empty($HTTP_POST_VARS[$param]) || !empty($HTTP_GET_VARS[$param]) )
	{
		$$var = ( !empty($HTTP_POST_VARS[$param]) ) ? htmlspecialchars($HTTP_POST_VARS[$param]) : htmlspecialchars($HTTP_GET_VARS[$param]);
	}
	else
	{
		$$var = '';
	}
}

lub

//
// Check and set various parameters
//
$params = array('submit' => 'post', 'preview' => 'preview', 'delete' => 'delete', 'poll_delete' => 'poll_delete', 'poll_add' => 'add_poll_option', 'poll_edit' => 'edit_poll_option', 'mode' => 'mode');
while( list($var, $param) = @each($params) )
{
	if ( is_array($HTTP_POST_VARS[$param]) || is_array($HTTP_GET_VARS[$param]) )
	{
		$$var = ( !empty($HTTP_POST_VARS[$param]) ) ?  htmlspecialchars($HTTP_POST_VARS[$param][0]) :  htmlspecialchars($HTTP_GET_VARS[$param][0]);
	}
	else if ( !empty($HTTP_POST_VARS[$param]) || !empty($HTTP_GET_VARS[$param]) )
	{
		$$var = ( !empty($HTTP_POST_VARS[$param]) ) ? htmlspecialchars($HTTP_POST_VARS[$param]) : htmlspecialchars($HTTP_GET_VARS[$param]);
	}
	else
	{
		$$var = '';
	}
}

Są to tylko przykłady błędów. Reasumując całą sytuację należałoby względnie tych przykładów pozmieniać filtrując w taki sposób wszelkie zmienne wejściowe (z tablic superglobalnych $_GET, $_POST) przy których jesteśmy pewni, że nie będziemy przekazywać w nich żadnych wartości tablicowych. Uchroni nas to od błędów typu:

Warning: htmlspecialchars() expects parameter 1 to be string, array given in /adres/modcp.php on line 116

Błąd jest standardowym bugiem występującym w phpBB by Przemo w wersji 1.12.5. Polega on na tym, że w wypadku przekazywania parametru mode w pliku memberlist.php w postaci tablicy otrzymujemy błąd argumentu funkcji htmlspecialchars w stylu:

Warning: htmlspecialchars() expects parameter 1 to be string, array given in /home/adres

Dzieje się tak z prostego powodu. Funkcja powyższa w podstawowej formie przyjmuje jeden parametr, który musi być string-iem. W wypadku kiedy chcielibyśmy przekazać tablicę musielibyśmy każdy z jej elementów np. poprzez wpuszczenie w pętlę przefiltrować. Skrypt, a dokładniej jego autorzy nie przewidzieli takiej opcji.

D3d!k dał mi też pewien rodzaj zabezpieczenia. Nie wdając się w dyskusję na temat jego formy, powiem tylko, że nie było one prawidłowe. Pozbawiało skrypt w tym elemencie jakiegokolwiek zabezpieczenia.

Moja propozycja jest następująca. A mianowicie, należy znaleźć w pliku memberlist.php:

if ( isset($HTTP_GET_VARS['mode']) || isset($HTTP_POST_VARS['mode']) )
{
	$mode = ( isset($HTTP_POST_VARS['mode']) ) ? htmlspecialchars($HTTP_POST_VARS['mode']) : htmlspecialchars($HTTP_GET_VARS['mode']);
}
else
{
	$mode = 'joined';
}

Po czym zamienić na:

if ( (isset($HTTP_GET_VARS['mode']) || isset($HTTP_POST_VARS['mode'])) && ( is_array($HTTP_POST_VARS['mode']) || is_array($HTTP_GET_VARS['mode']) ) )
{
	$mode = 'joined';
}
else if ( isset($HTTP_GET_VARS['mode']) || isset($HTTP_POST_VARS['mode']) )
{
	$mode = ( isset($HTTP_POST_VARS['mode']) ) ? htmlspecialchars($HTTP_POST_VARS['mode']) : htmlspecialchars($HTTP_GET_VARS['mode']);
}
else
{
	$mode = 'joined';
}

Doszedł jak widać jeden warunek. Sprawdza on czy został ustawiony parametr mode jednej z tablic superglobalnych $_POST lub $_GET po czym dodatkowo sprawdza czy którakolwiek z nich jest tablicą. Jeśli tak to ustawia $mode na standardową opcję. Jeśli nie, tzn. że przekazywana nie jest tablica i dalej sprawdza już wg. starej instrukcji.

Podziękowania dla d3d!ka za ukazanie błędu.

Także z tego miejsca chciałbym Wam życzyć Wesołych Świąt, hucznego Sylwestra, a także pomyślności w nowym – już 2008 roku. A powyżej macie drobny prezent.

Dla uwidocznienia problemu przedstawiam screena:

W wypadku znacznika code jego zawartość nie powinna być parsowana. Nie mniej jednak autor skryptu bez względu na typ zastosowanego tagu parsuje jego zawartość metodami wbudowanymi w silnik GeSHi. Ominąć ten problem można na wiele sposobów, np. poprzez użycie funkcji str_replace w celu wydzielenia poszczególnych znaków na encje html lub po prostu zastosowanie jakieś wbudowanej funkcji. Osobiście przedstawię drugą wersję.

Przede wszystkim w momencie inicjalizacji klasy obsługującej silnik GeSHi przekazując w parametrze zmienną ($code) zawierającą zawartość znacznika należy przekonwertować znaki bbcode na encję html. Adekwatnie znajdujemy:

	function bbcode_highlight($code, $stx)
{
[...]
}

W celu konwersji możemy posłużyć się metodą bbcode_specialchars której jedynym parametrem jest zmienna tekstowa. Należy wyszukać:

		$geshi = new GeSHi($code, $stx);

I zamienić np. na:

		$geshi = new GeSHi((( $stx == 'text' ) ? $this->bbcode_specialchars($code) : $code), $stx);

To niestety nie koniec. Przy parsowaniu GeSHi należy także rozróżnić, czy parsowany będzie znacznik code, czy inny. W wypadku tego pierwszego po sparsowaniu musi nastąpić konwersja zwrotna z encji na znaki. Nie można po prostu ominąć parsowania GeSHi, co też mogłoby rozwiązać problem z np. wyświetlaniem grafik w znaczniku code z tego powodu, że albo otrzymamy w wyniku encje html, albo opcja numerowania i ukrywania nie będzie działać.

Tak więc należy tym razem znaleźć:

		$result = $geshi->parse_code());

I zamienić np. na:

		$result = (( $stx == 'text' ) ? htmlspecialchars_decode($geshi->parse_code(), ENT_NOQUOTES) : $geshi->parse_code());

W celu zachowania bezpieczeństwa należało by także w powyższym przykładzie utworzyć tablicę z dozwolonymi znacznikami do konwersji zwrotnej. W tym wypadku bardziej odpowiednią metodą (bezpieczniejszą) byłoby użycie pierwszej metody z wymienionych wcześniej.
Może się zdarzyć, że niektóre gotowe posty będą wyświetlały nie kod, a wynik parsowania – należy je w takim wypadku zedytować i zapisać znowu.

PS. sposób ten będzie działał na wersji php5 równej lub większej niż 5.1. W starszych wersjach można użyć wspomnianego już str_replace.

Oczywiście z wyżej podanego powodu wprowadziłem gotowe rozwiązania, a mianowicie m.in. Raz-Captcha. Część osób miało problem z systemem weryfikacji graficznej, które autor modyfikacji w dziwny sposób tłumaczył zerowaniem elementu $_SESSION odpowiedzialnego za przekazanie zahashowanej wartości wygenerowanego tokena, a druga część twierdziła, że mod działa (jakim sposobem nie wiem). Miałem podobny problem jak ta pierwsza grupa i dlatego postanowiłem przyjrzeć się problemowi ciut dokładniej.

Zakładam z góry, że nie jest to wina Wordpressa, czy zastosowanego stylu. Nie widzę powodu aby tak twierdzić, tym bardziej że z samego kodu który zanalizowałem wynika, że bug jest uzasadniony i dotyczy opcji silnika captcha dla PNG-phpBB3 8bit Grey i PNG-phpBB3 Advanced. I pomimo, że pomyłka jest naprawdę znikoma w sensie objętości to przysparza ona wielu problemów. W czym tkwi błąd?

Pozwolicie, że zanalizuje go na opcji PNG-phpBB3 8bit Grey, gdyż problem z drugim silnikiem jest adekwatny do tego, dotyczy tylko następnego warunku (else if) w pliku który zaraz omówię. Na początek należy otworzyć raz-captcha.php i około linijki 193 znaleźć:

else if ($option['rca_engine'] ==3) // phpBB3 no-gd bw png engine
{
	require_once("engines/phpbb-nogd.php");
	$captcha = new captcha();
	$password=gen_rand_string(mt_rand(5, 8));
	$captcha->execute($password, time());
	$_SESSION['raz_captcha_gen']=md5($password);
	exit();
}

Kod ten odpowiada za inicjalizację funkcji, metod i przypisywanie zmiennych odpowiedzialnych za końcowe wyświetlenie tokena w opcji którą opisuję. I tutaj pojawia się błąd. Domyślnie autor modyfikacji najpierw odwołuje się do metody execute, a dopiero później przypisuje do danej sesji zahashowany wygenerowany token (dokładniej jego znaki).

$captcha->execute($password, time());
$_SESSION['raz_captcha_gen']=md5($password);

Jeśli otworzymy teraz plik phpbb-nogd.php to około linijki 134 możemy zobaczyć, że po wykonaniu metody execute tej klasy i po wyświetleniu wyniku następuje brutalne zatrzymanie skryptu i wszystko co ma dziać się dalej np. w pliku raz-captcha.php zostaje przerwane.

	header('Content-Type: image/png');
	header('Cache-control: no-cache, no-store');
	echo $image;
	exit;
}

I tu jest nasz bug. W pliku który otwieraliśmy na początku wystarczy zamienić linijkami wywołanie metody z przypisaniem do sesji naszego ciągu znaków, tak aby cały warunek wyglądał tak:

else if ($option['rca_engine'] ==3) // phpBB3 no-gd bw png engine
{
	require_once("engines/phpbb-nogd.php");
	$captcha = new captcha();
	$password=gen_rand_string(mt_rand(5, 8));
	$_SESSION['raz_captcha_gen']=md5($password);
	$captcha->execute($password, time());
	exit();
}

Nasz problem powinien zniknąć. Adekwatnie na poniższym warunku możemy też poprawić błąd programisty.

else if ($option['rca_engine'] ==4) // phpBB3 Advanced
{ 

Zaznaczam, że problem testowany był na Wordpressie w wersji 2.2.3.

Sprawa jest na tyle nieskomplikowana, że dłużej dociekałem przyczyny, niż ją naprawiałem. Błąd wykryłem przypadkiem, dzięki użytkownikom mojego forum. Wiem, że znany był on wcześniej, a nawet niektórzy próbowali go naprawiać, ale jednoznacznego rozwiązania nie widziałem nigdzie. Na czym polega bug? Na tym, że w przypadku jeśli PHP wspomagane jest obsługą CGI z wyłączonym zlib.output_compression w czasie edycji wpisów w shoutboxie jest wysyłany tekst przed wysłaniem nagłówków powodujący błąd skryptu. Problem ten dotyczy wersji 1.12.5, z tego co wiem podobne problemy były zauważane w wersjach 1.9.x.

Jak wygląda to od strony technicznej? W phpBB by Przemo takie akcje jak edycja, czy usuwanie wpisów z shoutboxa są wykonywane w pliku shoutbox_view.php. W momencie kiedy w Panelu Administracyjnym ustawimy, aby skrypt korzystał z kompresji gzip w pliku w zależności od typu przeglądarki ustawiane jest standardowe buforowanie wyjścia, wysyłany nagłówek szyfrowania treści strony, wyliczana suma kontrolnej i w końcu kompresowanie lub po prostu ustawienie buforowania wyjścia z atrybutem kompresji gzipa.

// Gecko
@ob_start('ob_gzhandler');

// Opera
$do_gzip_compress = TRUE;
@ob_start();
@ob_implicit_flush(0);

@header('Content-Encoding: gzip');

$gzip_contents = @ob_get_contents();
@ob_end_clean();

$gzip_size = strlen($gzip_contents);
$gzip_crc = @crc32($gzip_contents);

$gzip_contents = @gzcompress($gzip_contents, 9);
$gzip_contents = substr($gzip_contents, 0, strlen($gzip_contents) - 4);

echo "x1fx8bx08x00x00x00x00x00";
echo $gzip_contents;
echo pack('V', $gzip_crc);
echo pack('V', $gzip_size);

W tym drugim przypadku dotyczącym przeglądarek opartych na silniku Gecko każda próba edycji jakiegokolwiek wpisu kończy się wyświetleniem białej strony, w przypadku pierwszym dotyczącym Opery edycja jest możliwa, ale zamiast listowania wiadomości otrzymujemy ciąg skompresowanych danych, w postaci różnorodnych znaków. Co najdziwniejsze przynajmniej na Internet Explorerze w wersji siódmej wszystko działa dobrze ;]

Jak już napisałem prawie na początku problem stwarza fakt, że przy podanej wcześniej przeze mnie konfiguracji parsera PHP wysyłanie tekstu przed wysłaniem nagłówków powoduje automatyczne zatrzymanie i zerowanie zawartości sparsowanego pliku. Jeśli posiadamy własny serwer lub po prostu mamy możliwość konfiguracji naszego konta np. poprzez zmianę php.ini sprawa jest stosunkowo prosta. Możemy dla przykładu ustawić zlib.output_compression i zlib.output_compression_level na 1. Na przykład poprzez użycie PHP w wersji co najmniej 4.3:

ini_set('zlib.output_compression', true);
ini_set('zlib.output_compression_level', '1');

Natomiast jeśli nie mamy takich możliwości konfiguracyjnych wystarczy, że znajdziemy poniższy kod.

$do_gzip_compress = FALSE;
if ( $board_config['gzip_compress'] && !@headers_sent() )
{
	$phpver = phpversion();
	$useragent = (isset($HTTP_SERVER_VARS['HTTP_USER_AGENT'])) ? $HTTP_SERVER_VARS['HTTP_USER_AGENT'] : getenv('HTTP_USER_AGENT');
	$is_ob_gzhandler_started = false;
	if ( @ini_get('zlib.output_compression') && (int)@ini_get('zlib.output_compression') != 0 && strtolower(@ini_get('zlib.output_compression')) != 'off' )
	{
		$is_ob_gzhandler_started = true;
	}
	else if ( @ini_get('output_handler') && strtolower(@ini_get('output_handler'))=='ob_gzhandler' )
	{
		$is_ob_gzhandler_started = true;
	}
	if ( $phpver>= '4.0.4pl1' && ( strstr($useragent,'compatible') || strstr($useragent,'Gecko') ) )
	{
		if ( extension_loaded('zlib') && !$is_ob_gzhandler_started )
		{
			@ob_start('ob_gzhandler');
		}
	}
	else if ( $phpver> '4.0' )
	{
		if ( strstr($HTTP_SERVER_VARS['HTTP_ACCEPT_ENCODING'], 'gzip') )
		{
			if ( extension_loaded('zlib') && !$is_ob_gzhandler_started )
			{
				$do_gzip_compress = TRUE;
				@ob_start();
				@ob_implicit_flush(0);
				@header('Content-Encoding: gzip');
			}
		}
	}
}

I przeniesiemy go powyżej następującego kodu.

// ShoutBox auth
$is_jr_admin = ($userdata['user_jr']) ? true : false;
$is_mod = ($userdata['user_level'] == MOD) ? true : false;

W takim wypadku niezbędne do kompresji gzip nagłówki zostaną wysłane przed wyświetleniem tekstu i wszelkie związane z tą przypadłością błędy zostaną zaniechane.