Postanowiłem podejść do sprawy zabezpieczeń w wielu wpisach. Pisanie o bezpieczeństwie w jednym byłoby długie i cholernie monotonne. Zaczniemy więc tym razem niestandardowo, bo od ataku typu Arbitrary File Download (szczerze większej publikacji o tym nie znalazłem) – z reguły rzadszym, ale bardzo niebezpiecznym, a to wszystko jak sama nazwa mówi z powodu możliwości ściągnięcia dowolnego pliku na serwerze na którym wykonywany jest odpowiedni plik php.

Tłumacząc na polski nazwę tej luki otrzymalibyśmy mniej lub bardziej dosłownie translację w stylu „Pobieranie dowolnego pliku”. Stąd moje krótkie tłumaczenie w powyższym paragrafie.

Z teoretycznego punktu widzenia dokładniej wygląda to tak, że za pomocą parametru w adresie pliku przeznaczonego do ściągania innych plików z serwera możemy spreparować tak adres, aby pozwolił on nam ściągnąć pliki domyślnie przez programistę nieprzeznaczone do takiego zabiegu. Wiąże się to niedostateczną, a najczęściej po prostu z brakiem filtracji elementu (np. zmiennej) odpowiedzialnego za pobieranie argumentu.

Pokażę prosty przykład pliku (nazwijmy go download.php) który jest podatny na tego typu atak:

<?php

if ( isset($_GET['file']) )
{
	header('Cache-control: private');
	header('Content-Length: ' . filesize($_GET['file']));
	header('Content-Type: application/octet-stream');
	header('Content-Disposition: attachment; filename=' . basename($_GET['file'])); // nagłówek ustawiający zawartość jako załącznik

	readfile($_GET['file']); // ściągnięcie pliku
}

?>

I pomimo, że intencją programisty było ściąganie dzięki temu plikowi np. dokumentów PDF, to my dzięki jego niefrasobliwości bez problemu możemy wykorzystać go do… pobierania pozostałych plików PHP. Co najważniejsze – nieprzeparsowanych! Po prostu czysty kod PHP w takiej formie jaką twórca strony umieścił na serwerze. Jedyne co nas w tym wypadku ogranicza to funkcja readfile która standardowo nie nadaje się do pobierania dużych plików, a także czas wykonywania skryptu i wielkość bufora ustawiona w pliku konfiguracyjnym PHP.

Wracając do przykładów. Na wyimaginowanym odnośniku powiedzmy linkującego do dokumentu PDF wyglądało by to tak:

www.strona_internetowa.pl/catalog/download.php?file=specyfikacja.pdf

Pierwsza myśl która Wam może przyjść do głowy to podmienić po prostu specyfikacja.pdf na inny plik. Standardowo mógłby być to index.php, gdyż ściągając jego zawartość otrzymamy informację o nazwach innych powiązanych z nim plików. Niekoniecznie jednak plik ten musi się znajdować w tym samym katalogu co download.php, czy specyfikacja.pdf.

W pierwszym przypadku widzimy, że plik PHP którym ściągamy pozostałe źródła znajduje się w podkatalogu. Dlatego dla pewności możemy wypróbować dwa spreparowane linki:

www.strona_internetowa.pl/catalog/download.php?file=index.php // plik znajdowałby się wtedy pod /catalog/index.php
www.strona_internetowa.pl/catalog/download.php?file=../index.php // plik znajdowałby się wtedy bezpośrednio w strona_internetowa.pl/index.php

W drugim punkcie sprawa wygląda tak, że plik specyfikacja.pdf nie musi się znajdować w tym samym katalogu co download.php pomimo, że w odnośniku nie jest podana do niego inna ścieżka. Wystarczy, że twórca strony w w.w. przeze mnie kodzie zmieni linijkę z readfile (a także linię odpowiedzialną za pobieranie wielkości pliku) na:

<?php
[...]
	header('Content-Length: ' . filesize('./podkatalog/kolejny/' . $_GET['file']));
[...]
    readfile('./podkatalog/kolejny/' . $_GET['file']); // ściągnięcie pliku

?>

W takim wypadku jego pliki PDF są po prostu ściągane z:

www.strona_internetowa.pl/catalog/podkatalog/kolejny/

I tu rodzi się kolejne rozwiązanie – używanie przejść do katalogów nadrzędnych. Jeśli w tym wypadku chcielibyśmy ściągnąć index.php z głównego katalogu to wystarczy po prostu wpisać taki adres w przeglądarce:

www.strona_internetowa.pl/catalog/download.php?file=../../../index.php

Spytacie może:

W takim bądź razie skąd ja mam wiedzieć, gdzie wreszcie znajduje się ten mój pożądany plik?

Jeśli zaczynasz się w to bawić to najprościej będzie robić to metodą prób i błędów poprzez przejścia do podkatalogów i katalogów nadrzędnych. Jeżeli któreś z kolei nie zadziała to albo skrypt jest zabezpieczony, albo po prostu nie ma dostępu do pliku którego szukasz na serwerze (tak może być niekiedy z poszukiwaniem np. systemowego /etc/passwd). Innym sposobem jest użycie jakiegoś downloadera plików w stylu wget, czy innych Windowsowych zamienników, po czym analiza struktury katalogów serwisu. Zabieg w miarę prosty (chodzi o użytkowanie tych narzędzi) więc chyba tłumaczyć nie muszę.

Jak to wygląda już tak kompletnie w praktyce życiowej. Wiele osób twierdzi, że nie jest łatwo znaleźć taki błąd. Fakt, co nie zmienia faktu, że nie jest to niemożliwe. Specjalnie dla Was dzisiaj w nocy za pomocą Google wyszukałem pięć stron podatnych na ten atak. Jedną z nich wybiorę jako przykład ukazania wyszukania strony, błędu i ostatecznie jego edukacyjnego użycia.

• 1. Przeszukujemy Google…

Możemy to oczywiście zrobić na różne sposoby. Osobiście użyje tejże wyszukiwarki, a stronę znajdywać będę poprzez frazy wyszukiwania, np. takie:

inurl:.eu (getfile.php OR get.php OR file.php OR download.php)
inurl:home.pl (getfile.php OR get.php OR file.php OR download.php)

Tłumacząc, zostaną wyszukane wszelkie zindeksowane strony w domenie .eu (europejskiej) lub home.pl z co najmniej jednym plikiem podanym w nawiasie. Oczywiście można rzucić światło imaginacji i podać więcej plików które mogłyby być podanym wyżej przeze mnie źródłem ściągania, ale nam wystarczą tylko te.

• 2. Znalezienie celu…

Już na pierwszej stronie pierwszej frazy, i drugiej stronie drugiej frazy możemy znaleźć obiekty potencjalnie narażone na atak.

http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.ejls.eu/download.php?file=./issues/2007-12/MohrContiniUK.pdf

http://anonymouse.org/cgi-bin/anon-www.cgi/http://gfp.home.pl/www/news/file.php?file=AGP_notka_prasowa.doc

• 3. Spreparowanie parametru…

Wystarczy tylko wejść pod jeden z tych adresów i spróbować ściągnąć dla przykładu index.php. Co się rzuca od razu w oczy to fakt, że w drugim przypadku prawdopodobnie plik przez nas pożądany będzie znajdować się dwa katalogi wyżej niż aktualnie jesteśmy.

http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.ejls.eu/download.php?file=index.php

http://anonymouse.org/cgi-bin/anon-www.cgi/http://gfp.home.pl/www/news/file.php?file=../../index.php

• 4. Co dalej?

No właśnie. Nie zrobię Wam tu do końca kursu jak włamać się komuś na stronę. Bo posiadając dostęp do plików można bez problemu dostać się do bazy (o ile takowa istnieje), a co za tym idzie po prostu zostawić „OWNED” (o phishingowym wykorzystaniu chyba nie trzeba wspominać). Powiem tylko tyle, że znając PHP można bez problemu w takim momencie poznać strukturę plików, z tym co napisałem powyżej także ściągnąć je, a w tym te odpowiadające za konfiguracje czy hasła.

http://anonymouse.org/cgi-bin/anon-www.cgi/http://gfp.home.pl/www/news/file.php?file=../../skins/default.skin.php // inny przykład linku wyciągniętego z źródła index.php
http://anonymouse.org/cgi-bin/anon-www.cgi/http://www.ejls.eu/download.php?file=download.php // ściągnięcie pliku download.php

Na koniec kwestia która jest priorytetem i kulminacją tego wpisu.

Jak się do ku**y zabezpieczyć przed tym?!

Przede wszystkim należy filtrować dane. Zawsze należy, bo nawet jak nie trzeba to prócz większej ilości operacji nic więcej się serwisowi nie stanie z tego powodu. Taka drobna dygresja. Pytanie brzmi, jak to zrobić?

I tu już wszystko zależy od inwencji webmastera. Pokaże dwa przykłady w zależności od podawanego argumentu.

• Ściąganie pliku poprzez ID i wykorzystanie bazy danych MySQL.

Przede wszystkim musimy utworzyć prostą tabelę. Zakładam, że wszystkie pliki będą się znajdować w jednym katalogu (powiedzmy download).

CREATE TABLE files ( file_id SMALLINT UNSIGNED PRIMARY KEY AUTO_INCREMENT, file_name VARCHAR(255) NOT NULL ) COMMENT = 'file_id; 0-65535; klucz glowny : file_name; 0-255; nie pusty', MAX_ROWS = 65535;

Nasz zabugowany wyżej plik możemy zamienić na coś takiego (użyłem czystych funkcji PHP dla MySQL, jeśli ktoś zna rozszerzenie MySQLi albo moduł PEAR DB to nie będzie miał problemu z przepisaniem sobie tego):

<?php
require_once './config.php'; // plik konfiguracyjny z tablica danych do bazy danych
require_once './mimes.inc.php'; // plik z funkcja rozpoznajaca typy mime (function getMimeType(file))

$file			= ( isset($_GET['file']) ? intval($_GET['file']) : 0 ); // filtracja parametru file zawierajacego domyslnie w sobie liczby calkowite

if ( $file ) // jesli $file jest rozne od 0 tzn ze w parametrze zostalo wpisane ID w postaci cyfry
{
	if ( $connection = mysql_connect($db['host'], $db['user'], $db['pass']) === false ) // laczenie z baza danych za pomoca danych z tablic $db pliku config.php
	{
		print 'Blad polaczenia z baza danych: ' . mysql_error();
		die();
	}
	mysql_select_db($db['base']); // wybor bazy danych

	$fetched		= mysql_fetch_assoc(
		mysql_query('SELECT count(file_id) as counted, file_name
			FROM files
			WHERE file_id = ' . $file . '
			GROUP BY file_id
				LIMIT 1')
		); // zapytanie zliczajace i zwracajace liczbe rekordow o file_id = $file oraz nazwe pliku o podanym ID
	if ( $fetched['counted'] == 1 ) // jesli powyzsze zapytanie zliczylo 1 wiersz tzn ze ID jest prawidlowe
	{
		// szybka, dodatkowo filtracja poprzez zamiane encji na znaki i usuniecie ewentualny /
		// UWAGA! filtracja dokladna wpisywanych danych powinna byc przeprowadzona przy wprowadzaniu pliku do bazy
		if ( strpos($fetched['file_name'], '../') === false && file_exists('./download/' . $fetched['file_name']) === true ) // sprawdzenie istnienia pliku
		{
			// wyslanie odpowiednich naglowkow
			header('Cache-control: private');
			header('Content-Length: ' . filesize('./download/' . $fetched['file_name']));
    		header('Content-Type: ' . getMimeType($fetched['file_name'])); // wyslanie odpowiedniego typu MIME pliku zwracanego przez funkcje getMimeType (do napisania ;])
    		header('Content-Disposition: attachment; filename=' . basename($fetched['file_name']));

	    	// odczytanie pliku
    		readfile('./download/' . $fetched['file_name']);
		}
		else {
			print 'Plik o podanym ID nie istnieje!'; // nie znaleziono pliku o podanym ID na serwerze, blad!
		}
	}
	else {
		print 'Niepoprawne ID pliku!'; // nie znaleziono pliku o podanym ID, blad!
	}
	mysql_close(); // zamkniecie polaczenia
}
else {
	print 'Brak ID pliku!'; // nie znaleziono pliku o podanym ID, blad!
}
?>

Należy pamiętać, że ważnym aspektem zachowania bezpieczeństwa jest także odpowiednia filtracja przy dodawaniu rekordów z nazwami plików do bazy.

• Ściąganie pliku po jego nazwie.

Tym razem zabezpieczenie będzie trzeba zrobić bardziej intuicyjnie i oparte tylko na odpowiednim filtrowaniu. Wszystko zależy tutaj od tego skąd chcemy ściągać pliki. Przede wszystkim powinniśmy zabronić jakiegokolwiek pobierania z katalogów nadrzędnych, a także z katalogów podrzędnych w których znajdują się pliki będące integralną częścią strony. Najwygodniej oczywiście byłoby ustawić jeden, konkretny katalog do ściągania. Nie mniej jednak my skupimy się na ograniczeniu do n-tej ilości podkatalogów. Ostatecznie należy pamiętać także, aby w katalogach do których będzie miał dostęp użytkownik z poziomu skryptu pobierającego nie było plików innych niż zdatne do takiego ściągnięcia, no i ewentualnie index.html z pustą stroną.

<?php
function afdFiltration($file, $a_extns, $pattern = '')
{
	$file					= html_entity_decode(urldecode($file)); // usunięcie postaci procentowej znaków i zdekodowanie encji na znaki

	// sprawdzenie, czy wystepuje w ciagu ../ i ..\
	if ( strpos($file, '../') !== false || strpos($file, '..\\') !== false )
	{
		return '';
	}

	if ( $pattern != '' )
	{
		if ( !preg_match($pattern, $file) ) // jesli podano wzor to sprawdzenie czy pokrywa sie on z podanym plikiem
		{
			return '';
		}
	}

	$extension				= strtolower(end(explode(".", $file))); // rozszerzenie pliku
	if ( in_array($extension, $a_extns) === false ) // sprawdzenie czy rozszerzenie pliku pokrywa sie z dozwolonymi rozszerzeniami w skrypcie
	{
		return '';
	}

	if ( file_exists($file) === false ) // sprawdzenie istnienia pliku
	{
		return '';
	}

	return $file; // zwrocenie przefiltrowanego adresu pliku
}

require_once './mimes.inc.php'; // plik z funkcja rozpoznajaca typy mime (function getMimeType(file))

$allowed_extensions		= array('pdf', 'txt', 'c'); // dozwolone rozszerzenia plikow
$pattern				= ''; // opcjonalny wzor do sprawdzenia poprawnosci wprowadzonego adresu pliku

$file					= ( isset($_GET['file']) ? afdFiltration($_GET['file'], $allowed_extensions, $pattern) : '' ); // wywolanie funkcji filtrujacej, gdy podano argument file

if ( $file != '' ) // w wypadku pozytywnego przejscia filtracji
{
	header('Cache-control: private');
	header('Content-Length: ' . filesize($file));
	header('Content-Type: ' . getMimeType($file)); // wyslanie odpowiedniego typu MIME pliku zwracanego przez funkcje getMimeType (do napisania ;])
   	header('Content-Disposition: attachment; filename=' . basename(strtolower(end(explode("/", $file)))));

	// odczytanie pliku
    readfile($file);
}
else {
	print 'Nieprawidłowa nazwa lub ścieżka do pliku!'; // nie znaleziono pliku o podanym ID, blad!
}
?>

Zasada powyższego, przykładowego skryptu jest prosta. Filtrujemy w trzech poziomach. Zmieniając encje na znaki usuwamy ciąg ../ z adresu. Sprawdzamy opcjonalnie adres do pliku wg. zadanego przez nas wzorca (o ile takowy podamy) i ostatecznie porównujemy rozszerzenie pliku z dozwolonymi przez nas osobiście rozszerzeniami. Przykładem wzorca dla wyrażenia regularnego będzie np.:

$pattern				= '/^([a-zA-Z0-9\_\-]+)\\.([a-z0-9]{2,4})$/';

Pozwala ono na ściąganie dowolnego pliku zawierającego w sobie duże i małe litery, cyfry oraz znaki _ i -, a także rozszerzenie będące małymi literami i/lub cyframi o długości od dwóch do czterech znaków.

Na koniec przekazuje kilku minutowy filmik obrazujący znalezienie i użycie błędu. Zapraszam tutaj.

Uprzejmie proszę też o komentarze, jak wygląda ten tutorial, czy jest przydatny i przede wszystkim czy taka forma i taka ilość informacji będzie odpowiednia dla przyszłych artykułów z tego zakresu.

PS: wszelkie znalezione i ukazane błędy zostały przedstawione tylko i wyłącznie w formie edukacyjnej. Nie odpowiadam za formę wykorzystania ich przez użytkowników. Błędy zgłosiłem twórcom stron, więc prędzej czy później mogą one zostać załatane. Proszę o rozsądne ich wykorzystanie przy kształceniu własnych możliwości i NIE NISZCZENIE pracy autorów tych stron..

Dla najbardziej aktualnie rozpowszechnionego protokołu komunikacyjnego IPv4 adres IP składa się z czterech oktetów liczbowych postaci dziesiętnej oddzielonych kropkami.

Przykład: 127.0.0.1 (A.B.C.D)

I właśnie przez te rozdzielające kropki adresu nie można takiego adresu zapisać jako bardziej wydajny INT.

Najprostszą linią oporu można by dla powyższej potrzeby utworzyć tabelę z kolumną typu VARCHAR lub CHAR i do niej zapisywać w przedstawionej powyżej postaci adresy IP. Najmniej wydajny jest ostatni typ – który w wypadku zapisania danych o mniejszej długości niż ta ustawiona wraz z typem uzupełnia pozostały zakres wartościami zerowymi.

CREATE TABLE przyklad ( ip VARCHAR(15) NOT NULL ); # w najprostszym przykładzie

Wszelkie próby ominięcia używania typów znakowych w bazie, czy to poprzez szyfrowanie, czy inne wytwory ludzkie wyobraźni zawsze będą wymagać innego typu danych niż liczbowy (chyba, że jakiś sposób uniwersalny znacie?). Nie licząc tych wbudowanych w MySQL…

Mówię tu o funkcjach typu INET_ATON i INET_NTOA. Jak one działają?

• INET_ATON – pozwala na konwersję znakowego 4 lub 8 bajtowego adresu IP do jej reprezentacji liczbowej (32bitowej). Konwersja odbywa się wg. prostej reguły, czyli iloczynu wartości danego oktetu i 256 podniesione do potęgi równej numerowi oktetu liczonego od prawej (pierwszy równa się 0).

  INET_ATON(’127.0.0.1′) = 127 * 256^3 + 0 * 256^2 + 0 * 256^1 + 1*256^0 = 2130706432 + 0 + 0 + 1 = 2130706433

  Należy także wspomnieć o dwóch rzeczach. Nie trzeba podawać w argumencie powyższej funkcji pełnego adresu – można ograniczyć się np. do danego zakresu, czy dwóch najwyższych klas – A i B.

  ... INET_ATON('127.0') ...

  Druga sprawa to fakt, że typ kolumny i pól do których będziemy zapisywać dane powinien być typu INT UNSIGNED (tylko wartości dodatnie). W przypadku kiedy pierwszy oktet (klasa A) będzie przy zapisie większa niż 127 mogą wystąpić błędy w bazie jeśli kolumna tychże adresów będzie ustawiona na czyste INT spowodowane wyjściem poza zakres tego typu (o czym więcej można przeczytać w powyższych linkach).

  CREATE TABLE przyklad ( ip INT(11) UNSIGNED NOT NULL ); # najprostsza wersja przygotowana pod użycie powyższej funkcji

• INET_NTOA – konwersja zwrotna do powyższej. Pozwala na zmianę z wartości liczbowej do wartości łańcucha znaków, czyli mówiąc potoczniej z powrotem do znanego wszem i wobec adresu IP.

Jak można się domyśleć pierwsza wymieniona wyżej funkcja będzie służyć do zapisu adresów IP, druga do odczytu. Kolejno można to zrobić w taki sposób:

INSERT INTO przyklad ( ip ) VALUES ( INET_ATON('127.0.0.1') );

SELECT INET_NTOA( ip ) FROM przyklad;

Należy pamiętać, że w przypadku odczytu argumentu z INET_NTOA nie powinno być żadnego typu apostrofów – niekiedy jako, że odczytujemy liczbę całkowitą może nastąpić błąd przy wykonaniu zapytania.

1. Prolog

Jakiś czas temu tworzyłem anglojęzyczną prezentację o tytule „How to create a good enough website?”. Rzecz jasna starałem się tam przedstawić przede wszystkim kwestie teoretyczne i przygotowawcze do kreowania stron internetowych, bo jakakolwiek próba praktycznego przedstawienia tak szerokiego zagadnienia w formie ustnej zakończyłaby się za pewnie wielogodzinną przemową bez konkretnych wniosków. Nie mniej jednak zmotywowało mnie to do napisania „kilku” słów szerszego poradnika na temat „jak zacząć i o czym należy pamiętać tworząc strony internetowe…” – w formie głównie teoretycznej z aspektami praktycznymi…

2. Czy na pewno tego chcesz?

Jest to chyba podstawowe pytanie które powinien zadać sobie każdy przyszły, bądź początkujący programista. „Czy naprawdę masz na tyle czasu i motywacji, aby utworzyć swój pierwszy serwis?”. Pytanie jest o tyle ważne, że tworzenie jakichkolwiek mniej lub bardziej zawiłych, czy to programów, czy w naszym przypadku aplikacji internetowych jest procesem najczęściej skomplikowanym i długim. Przede wszystkim musisz myśleć abstrakcyjnie, co powoduje, że w wielu przypadkach niektóre aspekty codziennej logiki odchodzą w zapomnienie. Nie licz na to, że każdy z Twoich problemów rozwiążą inni. Z tym wiąże się fakt, że musisz posiadać choć małą nutkę umiejętności szukania i analizowania gotowych rozwiązań bądź porad. Jeśli spełniasz powyższe zasady, masz szansę że twoja zabawa z kodem nie zakończy się klęską.

3. Rozpocznij projektowanie tradycjonalnie…

No właśnie. Pomimo różnych zawiłości które już po części wymieniłem początek jakiejkolwiek większej pracy należy rozpoczynać tradycjonalnie, najlepiej podług uogólnionych zasad. Musisz wiedzieć, że:

• tradycjonalnie nie znaczy zawsze tak samo,
• pamiętaj, że rola projektanta wiążę się z rolą programisty z podstawowych powodów:
• • kreowanie strony której nie da się zaimplementować lub implementacja nie będzie działać poprawnie jest co najmniej niemądre,
  • w drugą stronę – zmieniane struktury projektu za każdym razem kiedy chcemy zmienić sposób działania strony będzie na pewno czasochłonne, a niekiedy nawet kosztowne.
• jeśli stronę miałoby tworzyć kilka osób należy zabrać pod uwagę przy projektowaniu możliwości każdego z programistów w celu jak najbardziej optymalnej implementacji przyszłego kodu.

4. Co z tym projektowaniem samym w sobie?

I doszliśmy do pierwszego punktu nie stricte teoretycznego. Przed praktycznym pisaniem musisz wiedzieć czego chcesz i czego oczekujesz po swojej stronie. Można to nazwać „architekturą informacji” twojej strony. Po fazie informacyjnej przedstawionej wyżej musisz stworzyć, przetestować i zweryfikować strukturę i możliwości swojej przyszłej strony. Mówiąc dokładniej, czy to na kartce, czy we własnej głowie przeanalizuj:

• jaki serwis chcesz tworzyć?
• jaki ma być cel tego serwisu?
• co chcesz wykorzystać przy jego tworzeniu i w jaki sposób chcesz to zaimplementować?
• i co najważniejsze – do jakiej grupy osób ma być on kierowany i czy chcesz rozwijać jego możliwości poprzez np. wielojęzykowość?

Jest to o tyle ważny punkt całego kreowania, że wybór którego dokonasz przy planowaniu będzie obowiązywał twoją stronę praktycznie do końca jej istnienia. Pamiętaj także, aby dokładnie testować wszystkie możliwe skutki swoich ewentualnych wyborów. W wypadku większych projektów pomocne będą tu znane od wielu lat… kartka i długopis :]

Kiedy już dojdziesz dokładnie do tego czego oczekujesz po swoim przyszłym tworze pora poznać kilka informacji o projektowaniu samym w sobie. Wiele osób nie mających zbytnio nic wspólnego z technologiami internetowymi może uważać, że tworzenie rozwiązań tego typu to rodzaj tajemniczej sztuki. Nic mylnego moim zdaniem. To po prostu pewne predyspozycje do bycia kreatywnym. Dokładniej zbiór umownych reguł do rozwiązywania problemów w celu zrozumienia zapotrzebowań użytkowników i tworzenia efektywnych rozwiązań internetowych. Oczywiście definicja ta ma tylko zobrazować pojęcie i naginanie jej wg. indywidualnych potrzeb jest jak najbardziej zrozumiałe. Niekiedy z angielskiego „design” jest mylnie kojarzony tylko i wyłącznie z tworzeniem wizualnej części stron, a związane jest to z dominacją grafików internetowych (z angielskiego „graphic designers”).

Reasumując paragraf:

• nie należy zapominać o kooperacji z użytkownikami, którzy często są bardzo ważnym źródłem informacji i zapotrzebowań wśród ludzi,
• należy zapoznać się z podstawowymi zasadami użyteczności stron i projektowania stron internetowych – wymienionych po części powyżej,
• należy projektować jak już zostało wyżej podane abstrakcyjnie, ale nie „na ślepo”, w jednym kierunku. Tłumacząc bardziej: kreuj swój serwis tak, jak sam chciałbyś go widzieć będąc swoim własnym klientem.

5. Mam ułożony w głowie dokładny plan, ale za co mam się „chwycić” żeby go zaimplementować?

Po pierwsze języki programowania, bądź związane z nimi technologie. Bez tego – to lepiej odpalić nowe CoD i czekać, aż osoby które się znają na tego typu sprawach zrobią coś za nas i dla nas. Prawda jest taka, że informatyka nie jest łatwą dziedziną, bo pomimo, że jest młoda daje ogromne pole do popisu i manewru, a to za sprawą ogromu na jaki się rozwinęła. I tak jest i przy tworzeniu aplikacji internetowych. HTML lub bardziej rygorystyczny xHTML i do tego CSS (Kaskadowe arkusze stylów) w celu implementacji strony wizualnej i jej modyfikacji, a także PHP i najbardziej znany tego typu system MySQL w celu utworzenia zdatnych do działania algorytmów, rozwiązań i przechowania danych to niestety w dzisiejszych czasach niezbędne minimum.

Nie będę omawiał tu każdego z tych języków. Bo w zasobach internetu można znaleźć wiele dobrych kursów, opracowań i przykładów. Wystarczy spojrzeć tutaj. Dodam tylko, że postaram się zawrzeć kilka informacji o pewnych aspektach tych języków. Jeśli ktoś już na początku chce mieć swobodną możliwość wyboru to przedstawiam poniżej kilka języków wraz z ich alternatywami (oczywiście są to tylko przykłady, względem własnych potrzeb można konfiguracje ułożyć inaczej):

Osobiście będę starał się opierać na podanej wyżej konfiguracji podstawowej.

Do programowania w czymkolwiek przydałby się też jakiś edytor/program przeznaczony do tego typu zadań. A mianowicie:

• PHP, HTML, xHTML, MySQL w Notepad++, ZendStudio (dla bardziej zaawansowanych – posiada kolorowanie składni, podpowiedzi, klienta ftp, cvs, debuger kodu, zarządzanie projektami, przeglądanie funkcji, klas, metod i wiele innych). Dodam tylko, że nie polecam np. Notatnika z racji dla przykładu problemów z kodowaniem, o czym później,
• CSS w Top Style Pro, Visual Studio .NET, itp.,
• JS/AJAX w ZendStudio, Visual Studio .NET.

Oczywiście to nieliczne przykłady, najlepiej zacząć od testowania ich, albo ewentualnie innych tego typu programów w celu odnalezienia najbardziej przyjaznego samemu sobie.

6. Czym jest te wspomniane kodowanie?

Nieszczęsna rzecz. I w gotowych serwisach i w czasie pisania swoich skryptów. Sprawa jest jasna – najlepiej jeśli kodowanie plików, charset dokumentu i kodowanie wraz z porównywanie znaków bazy danych są tego samego typu. Dzięki temu powinniście uniknąć problemów z „krzakami” przy imporcie starej bazy, czy pisania dodatkowego kodu odpowiadającego za dynamiczne zmiany kodowania.

Jako polscy użytkownicy dla których domyślnie grupami odbiorców są właśnie także Polacy macie do wyboru dwa kodowania:

Jest jeszcze trzecie – Microsoftowskie windows-1250, ale stanowczo odradzam używanie go. Do podanych powyżej pierwsze odnosić się będzie stricte tylko do polskich użytkowników. Drugie jest uniwersalne i doradzam używanie go, jeśli masz świadomość, że w pewnym momencie będą twoją stronę przeglądać użytkownicy z zagranicy. W nawiasie podałem odpowiedni w MySQL-u.

Teraz ciut praktyki. Czyli jak to wygląda kolejno w xHTML-u / HTML-u, kodowaniu plików (na podstawie ZendStudio) i MySQL-u (via phpMyAdmin).

W pierwszym i drugim języku każda strona i podstrona musi posiadać nadany odpowiedni charset. My będziemy chcieli uzyskać dla przykładu utf-8. xHTML:

<meta http-equiv="content-type" content="application/xhtml+xml; charset=utf-8" />

A także w postaci deklaracji języka dokumentu, dla przykładu w tagu html:

<html lang="pl" xml:lang="pl" xmlns="http://www.w3.org/1999/xhtml">  // xhtml 1.0

<html xml:lang="pl" xmlns="http://www.w3.org/1999/xhtml"> // xhtml 1.1

Jeśli wewnątrz strony zmienia się język to w tagu nadrzędnym regionu ze zmienionym językiem możemy zadeklarować inny język:

Witaj użytkowniku!
<p lang="en" xml:lang="en">Welcome user!</p>
// xhtml 1.0

Witaj użytkowniku!
<p xml:lang="en">Welcome user!</p>
// xhtml 1.1

Dla czystego HTML-a powyższe elementy będą wyglądać następująco:

<meta http-equiv="content-type" content="text/html; charset=utf-8">

<html lang="pl">

Witaj użytkowniku!
<p lang="en">Welcome user!</p>

To nie wszystko. Taki plik należy odpowiednio otwierać i odpowiednio zapisywać. Rzecz jasna piszę tu o kodowaniu. Dla przykładu – zapis w ZendStudio w kodowaniu proporcjonalnym do charset-u powinien wyglądać tak:

No i ostatnia sprawa. Aspekt bazy danych. Jeśli już z niej korzystasz w celu składowania danych należy ustawić porównywanie znaków i kodowanie pól w phpMyAdmin na w naszym przypadku utf8_unicode_ci.

Należy pamiętać aby zmiany w phpMyAdmin wprowadzić przed wgraniem czy to pustej czy starej bazy danych.

7. Ponad zakresowy aspekt numer jeden: bezpieczeństwo!

Kolejny praktyczny aspekt, który za pewnie można znaleźć w sieci, ale czymże byłby ten tekst bez niego. Dla laików – kilka porad co może czychać na niezabezpieczony skrypt i jak można się przed tym uchronić.

• Cross-Site scripting (XSS)

Opis: – sposób ataku możliwy do przeprowadzenia przy braku odpowiedniego filtrowania danych pozwalający na wstrzyknięcie niepowołanego kodu najczęściej w postaci JavaScript.
Przykład kodu niezabezpieczonego:

$nick = $_GET['nick'];
print 'Zalogowany jako: ' . $nick;

Przykład użycia luki:

http://serwer.pl/index.php?nick="><script>alert(document.cookie);</script>

Sposób zabezpieczenia: należy przefiltrować dane poprzez funkcje htmlspecialchars(), strip_tags() lub/i htmlenties(), a także dodatkowo można via np. str_replace() usuwać ze zmiennych takie ciągi jak .

$nick = strip_tags(htmlspecialchars($_GET['nick']));

• SQL Injection

Opis: – atak spowodowany nieodpowiednim typowaniem lub brakiem filtrowania pozwalający na modyfikację zapytania do SQL-a.
Przykład kodu niezabezpieczonego:

$nick = $_GET['nick'];
mysql_query('SELECT id FROM users WHERE nick = ' . $nick);

Przykład użycia luki:

http://serwer.pl/index.php?nick=-1%20union%20select%201,2,3,4,5,6,7/*

Sposób zabezpieczenia: należy przefiltrować dane poprzez mysql_real_escape_string() wraz z sprawdzeniem, czy magic_quotes na serwerze jest włączony.

$nick = $_GET['nick'];
if ( ini_get('magic_quotes_gpc') )
{
	$nick = stripslashes($nick);
}
$nick = mysql_real_escape_string($nick);

• Cross-site request forgery (XSRF)

Opis: – polega na wykorzystaniu uprawnień osoby administrującej w celu wykonania zadanego kodu.
Przykład użycia luki:

[url]http://serwer.pl/index.php?mode=delete&u=2[/url]

Sposób zabezpieczenia: należy przede wszystkim dokładnie sprawdzać co się otwiera. Nie zawsze, czy to grafiki, czy to odnośniki są tym czym mogą się wydawać. Po za tym należy przesyłać ważne dane np. w PA poprzez $_POST, a nie $_GET. Można ograniczyć przesyłanie linków w BBCode związanych z najważniejszymi funkcjami danego serwisu. Ostatecznie można też uniemożliwić używanie BBCode w serwisie.

• Session fixation

Opis: – polega na przejęciu konta użytkownika poprzez poznanie jego id sesji.
Przykład użycia luki: – najczęściej poprzez przekazywanie id sesji poprzez adres i nieodpowiednie sprawdzanie go w czasie ładowania strony.

http://www.mojadomena.pl/index.php?PHPSESSID=987654321

Sposób zabezpieczenia: należy regenerować id sesji w taki sposób, aby użytkownik nie mógł nadać sobie samemu jej id. Dodatkowo powinno się sprawdzać nadane id sesji, wraz z danymi użytkownika z tymi które istnieją w bazie danych.

session_start();
if (!isset($_SESSION['nick']))
{
	session_destroy();
}
session_regenerate_id();
$_SESSION['nick'] = true;

• Local File Include / Remote File Include

Opis: – pozwala na załączenie (via np. include, require, readfile, fopen) niepożądanego pliku na serwerze lub zdalnie z poza serwera skryptu.
Przykład niezabezpieczonego kodu:

require 'include/' . $_GET['id'];

Przykład użycia luki: – %00 na końcu to tzw. atak z użyciem zerowego bajtu (Poison Null Byte) przez co po zaincludeowaniu ścieżki wszystko co po za zmienną zostanie usunięte (pozbywamy się np. rozszerzenia html z include wpisanego na stałe).

http://serwer.pl/index.php?id=./../../../../../../../../../etc/passwd%00

Sposób zabezpieczenia: można filtrować dane podług danych znaków i te wejściowe, ale także niektóre z $_SERVER. Po za tym należy wyłączyć możliwość zdalnego odwoływania się do plików z poza serwera przez readfile, include czy fopen.

Pamiętaj także, że w każdym z wyżej wymienionych przypadków jeśli masz pewność, że przekazywane dane będą wartością np. całkowitą najlepiej jest wykonać rzutowanie lub przefiltrować odpowiednią funkcją je. Dla przykładu:

$id = intval($_GET['id']); // funkcja

$id = (int)$_GET['id']; // rzutowanie

8. Ponad zakresowy aspekt numer dwa: podstawy optymalizacji!

Punkt ten możesz brać z malutkim przymrużeniem oka ;] Optymalizacja jest ważna, ale bardziej w formie zaprojektowania serwisu i bazy danych (szczególnie korelacji pół i tabel, a także optymalizacji zapytań) niż aspektów stricte semantycznych które podam. O to kilka testów wraz z wynikami w komentarzach (w postaci prędkości):

// długość zmiennej
if ( strlen($try) < 5000000 ) { echo 0; }
// kontra
if ( !isset($try{5000000}) ) { echo 0; }

// wynik:
// 1: 0.000046
// 2: 0.000012
// powodem jest fakt, że isset() jest konstrukcją językową, a strlen() funkcją

// pre / post-inkrementacja
for ( $i = 0; $i < 150000; ++$i )
{
print null;
}
// kontra
for ( $j = 0; $j < 150000; $j++ )
{
print null;
}
// wynik:
// 1: 0.0441
// 2: 0.0489
// wszędzie po za parametrami warunków należy używać pre-inkrementacji, gdyż nie jest wtedy tworzona dodatkowa przejściowa zmienna przez co czas użycia jest krótszy.

// przeliczanie funkcji w pętlach
for ( $i = 0; $i < sizeof($tablica); ++$i )
{
print null;
}
// kontra
$size = sizeof($tablica);
for ( $j = 0; $j < $size; ++$j )
{
print null;
}
// wynik:
// 1: 0.00066
// 2: 0.00031
// w pierwszym przypadku przy każdej iteracji pętli zostaje obliczany wynik funkcji sizeof co wydłuża działanie skryptu

// wyrażenia regularne i funkcje wbudowane
if (preg_match("!^foo_!i", "FoO_")) { }
// kontra
if (!strncasecmp("foo_", "FoO_", 4)) { }
// wynik:
// 1: 0.0000791
// 2: 0.0000119
// wyrażenia regularne w wypadku prostych zastosowań są o wiele wolniejsze niż przeznaczone do tego funkcje wbudowane

To tylko niektóre proste testy, ukazujące z pozoru nieznaczne, ale przy nagromadzeniu i większych projektach uciążliwe różnice w wydajności. Więcej informacji już niedługo będzie można uzyskać na moim blogu.

9. A może kilka słów jak projektować bazy?

Nie, nie uzyskasz krok po kroku porad jak utworzyć uniwersalną bazę. Nie ma chyba takich poradników. To zależy od tego czego potrzebujesz. Mogę jednak wypunktować główne założenia:

• jeśli masz zamiar wykonywać bardzo dużo operacji w jednoczesnym czasie to proponuje wybrać typ InnoDB. Jest on ciut wolniejszy, ale za to posiada takie dodatkowe aspekty jak transakcje co lepiej organizuje i zabezpiecza działanie na bazie (w przeciwieństwie do MyISAM),
• każda tabela powinna posiadać indeks, a w wypadku kiedy istnieje możliwość, że tabela rozrośnie się do dużych rozmiarów korzystaj z unikalnych indeksów na danych kolumnach co zwiększy wydajność przeszukiwania tabeli. Musisz pamiętać jednak, że przed umieszczeniem wpisu w tabeli musisz sprawdzić, czy nie istnieje już czasami wartość tego typu w kolumnie o nadanym unikalnym indeksie. W przeciwnym razie wystąpi błąd przy wykonaniu zapytania.

  ALTER TABLE nazwa_tabeli ADD UNIQUE INDEX (nazwa_kolumny);

• spróbuj przewidywać długość typów pól. Jeśli zapisujesz w czystej postaci IP to nie twórz typu VARCHAR większego niż 15ście znaków. Jeśli zapisujesz zahashowane w md5 hasło to ustaw pole na 32 znaki. Nadmiary wielkości nie są potrzebne w bazie i odbijają się na wydajności.
• konstruuj tabelę tak, abyś mógł bez problemu przeszukiwać ją po ID. Kardynalnym błędem w zautomatyzowanych serwisach jest działanie np. na nickach użytkowników. Wyjątkiem są specyficzne serwisy, gdzie jedno pole danej tabeli nie oddziałuje na drugie. W przeciwnym wypadku działanie na ID jest bardzo dobrą metodą na łączenie danych z kilku tabel.

  SELECT u.username, g.groups FROM groups g LEFT JOIN users u ON g.user_id = u.user_id WHERE g.group_id = 1;

• jeśli masz możliwość używaj modułu mysqli – jest wydajniejszy już z samej konstrukcji.

10. Co, gdy mój serwis już stoi?

Teraz możesz się przygotować na kilka tygodni, miesięcy bardziej równomiernej pracy nad promocją serwisu. O ile naprawdę chcesz go promować. Twój kod za pewnie standardowo nie jest przystosowany dla wyszukiwarek. Więc pierwsze co możesz zrobić to pomajsterkować z mod_rewrite i przepisywaniem linków na bardziej przyjazne wyszukiwarką.

RewriteEngine on
RewriteRule ^([a-z0-9]+)$ /index.php?action=$1 [L,QSA,NE,NC]

Po za tym zainteresuj się systemami linkującymi i pozycyjnymi – szczególnie tymi o wysokim PageRank-u. Po jakimś czasie pomoże się wybić to twojej stronie na wyższe pozycje pod danymi frazami. Możesz wspomóc się automatycznymi skryptami do dodawania, ale one najczęściej dodają przede wszystkim do stron o niskim pożytku dla nas samych.

Ważnym i przyciągającym najwięcej klientów, czy użytkowników (a co zarazem idzie rozwijającym serwis i zwiększającym PR) są systemy typu AdWords. Płatnie wyświetlają one reklamy w google po wpisaniu zadanych fraz przez użytkownika w wyszukiwarce. Przewidywalnie za około 100 złotych może twoją stronę odwiedzić kilkadziesiąt tysięcy użytkowników (praktycznie jest to tyle kliknięć).

No i ostatecznie najważniejszym aspektem jest twoja opieka nad stroną. Jej rozwój, zmiana treści, , zachowanie poprawności (sprawdzanej np. tutaj), udoskonalanie pod oczekiwania użytkowników czemu pomóc może np. system analityczny Google Analytics – to wszystko pozwoli Ci maksymalnie rozwinąć twój serwis internetowy.