Zapamätanie udajov vo formulari po obnoveni

pedrix · Napísal **pedrix**: 13.07.2008 14:41

Mam takyto problem.Mam formular na konci ktoreho je moznost pridavanie obrazkov po jednom.Ked pridam obrazok,stranka sa mi obnovi a vsetky predtym vyplnene udaje su prec,co je velmi neprijemna zalezitost.....Viete mi poradit nejake riesenie? Za vsetky odpovede dakujem

emer · Napísal **emer**: 13.07.2008 14:45

prenes tie údaje cez URL pomocou GET

suchy · Napísal **suchy**: 13.07.2008 14:55

no cez get urcite nie. nacitaj do session. samozrejme po spravnom ich zo session nezabudni vymazat

p360t · Napísal **p360t**: 13.07.2008 20:30

Kúsok kódu, aby si si to vedel predstaviť:
HTML:

Kód:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
  <meta http-equiv="content-type" content="text/html; charset=windows-1250">
  <meta name="generator" content="PSPad editor, www.pspad.com">
  <title></title>
  </head>
  <body>
    <form enctype="multipart/form-data" method="post" action="nieco">
      <fieldset>
        <legend>Údaje</legend>
        <input type="text" name="meno">
        <input type="text" name="priezvisko">
        <input type="text" name="adresa">        
      </fieldset>
      <fieldset>
        <legend>Obrázok</legend>
        <input type="file" name="obrazok">        
      </fieldset>
    </form>
  </body>
</html>

PHP:

Kód:

<?php
if (isset($_POST)) {
  $polia = array("meno", "priezvisko", "adresa");
  foreach ($polia as $key) {
    if (isset($_POST[$key])) {
       $_SESSION['udaje_z_formulara'][$key] = strip_tags($_POST[$key]);
    }
  }
}
funkcia_na_spracovanie_obrazka($_FILES['obrazok']); //alebo cely blok prikazov
blok_prikazov_na_vypis_formulara{
   // vypises rovnaky formular aj so zadanymi hodnotami
}
unset($_SESSION['udaje_z_formulara']); // odstranenie nepotrebnych udajov
?>

No, a vysvetlime si postupne ten PHP kód: ak mám nejaké dáta v POST-e, tak si zadefinujem pole, ktoré bude mať hodnoty prvkov pomenované presne ako jednotlivé políčka vo formulári (neskôr vysvetlím prečo). Následne foreach konštrukciou toto pole preleziem (pri každej iterácii sa do premennej $key uloží príslušná hodnota, tj. najprv meno, potom priezvisko, potom adresa. Frk je v tom, že aj pole $_POST má pri správnom odoslaní položky s hodnotami zadanými od užívateľa pomenované rovnako ako prvky nášho poľa $polia. Takže, ešte kontrola, či naozaj pole $_POST obsahuje položku s názvom $key (teda takú, ktorú sme si dopredu definovali) a ak hej, tak do užívateľskej relácie (session, premenná $_SESSION) si uložíme konkrétnu hodnotu (v tomto prípade po ošetrení funkciou strip_tags, nejaké ošetrenie by tam byť malo, obzvlášť ak chceš tie dáta ešte raz vypísať, možno by sa oplatilo ešte použíť tesne pred výpisom aj funkciu htmlspecialchars). Takto sme si naplnili údaje do užívateľskej relácie a môžeme sa zaoberať spracovaním obrázka, vypísať formulár so zadanými hodnotami a zrušiť nepotrebnú časť užívateľskej relácie (unset($_SESSION['udaje_z_formulara']);).

A ešte vysvetlenie, prečo to šaškovanie s nejakým poľom. Je veľmi nepohodlné vypisovať jednotlivo všetky položky spôsobom (ľahko spravíš preklep, pri každej zmene HTML formulára treba meniť aj PHP kód):

Kód:

$_SESSION['udaje_z_formulara']['meno'] = strip_tags($_POST['meno']);
$_SESSION['udaje_z_formulara']['priezvisko'] = strip_tags($_POST['priezvisko']);
$_SESSION['udaje_z_formulara']['adresa'] = strip_tags($_POST['adresa']);

Oveľa pohodlnejšie je použitie foreach konštrukcie:

Kód:

foreach($_POST as $key => $value) {
   $_SESSION['udaje_z_formulara'][$key] = strip_tags($value);
}

Takto sa automaticky do užívateľskej relácie vložia všetky údaje z POST časti HTTP požiadavku. Lenže, nie je problém, odoslať formulár na tvoj server s úplne inými poliami (jednoducho si niekto stiahne tvoju stránku ako obyčajný html súbor, ľubovoľne pozmení kód a odošle ho na tvoju adresu pomocou parametra action tagu form). Takýmto spôsobom sa k tebe môžu dostať údaje, ktoré nie sú tým, čo sám chceš.

Preto si na kontrolu definujeme pole, v ktorom vymenujeme, ktoré prvky poľa $_POST naozaj chceme a do užívateľskej relácie sa tak dostane naozaj len to, čo chceme aby tam bolo. Navyše, veľmi intuitívne sa tam dajú aplikovať rôzne sanitizačné funkcie (v tomto prípade napr. strip_tags na odstránenie škodlivého HTML kódu, pri samotnom výpise do HTML stránky sa ešte oplatí zabrániť XSS útokom použitím funkcie htmlspecialchars).

Tominator · Napísal **Tominator**: 14.07.2008 9:42

ako máš v HTML napr.:
<input type="text" name="meno" value="<?$_POST["meno"]?>">

p360t · Napísal **p360t**: 14.07.2008 9:48

Čo tým chcel básnik povedať? (nehovoriac o tom, že tam má 2 chyby a spolieha sa, že hodnota v $_POST['meno'] je bezpečne bez záškodníckych znakov)

Tominator · Napísal **Tominator**: 14.07.2008 10:05

chcel som tým povedať že neviem ako má vyriešné obrázky ... preto ak mu to refresh spôsobuje napr. JAvasript tak by jednoducho mohol použiť POST v HTMLku ...
ďalej v úvodzovkách nie je chyba ... a bezpečnosť bude riešiť pri kontorole keď uživateľ skončí s pridávaním obrázkov

p360t · Napísal **p360t**: 14.07.2008 10:16

Chyba je v tom, že používaš skrátené PHP tagy (ktoré naozaj nepodporuje každý hosting, bolestne som sa o tom na vlastnej koži presvedčil) a tiež v tom, že tam nie je žiadne echo, teda hodnota sa nevypíše. V úvodzovkách naozaj chyba nie je.

K bezpečnosti: práve toto je ukážkový príklad na použitie XSS útoku. Ak to takto neošetrené necháš, nie je problém zadať tam škaredé hodnoty (koniec-koncov, sám si sa o tom mohol presvedčiť na svojom chate, využil som presne túto chybu a doteraz ju nemáš odstránenú). Každú hodnotu, ktorú dostaneš od užívateľa a ideš ju spätne vypísať musíš ošetriť. Jednoducho musíš.

Tominator · Napísal **Tominator**: 14.07.2008 10:42

ja viem ale počúvaj s tými chybami máš pravdu ... uznávam ... kěď som to potom čítal našiel som ich aj ja ale už sa nedalo ...
k podstate ... keď si tam napíšeš škaredé hodnoty ... pridáš obrázok trebars cez JS a nastane ti refresh. Keď si si dohádzal fotky odosielaš formulár na spracovanie a tam to MUSÍŠ (ako píšeš) spracovať

porozumej: vy to dávate nejakému PHPčku ktoré to spracuje a opäť nastaví HTML
ja nechcem do toho ťahať PHPčko, pretože príde user nahrá prvý obrázok, nahrá druhý, formulár nevyplní a odíte ... urobí ti traffic, teda nad nahrávaním obrázka neuvažujem, preto vravím že sa to dá aj bez toho až v spracovavaní to budeš ošetrovať ...

p360t · Napísal **p360t**: 14.07.2008 11:26

Ale ty nerozumieš, že akonáhle robíš echo $_POST['nieco']; musíš mať $_POST['nieco'] ošetrené, pretože ak by hodnota tej premennej bola <h1>Som majster hacker</h1> tak sa ti na stránke napíše, že je niekto majster hacker. A ak tam pridá JavaScript a začne si odosielať identifikátory relácie, alebo falošný prihlasovací formulár, môžu z toho byť ďaleko väčšie problémy.

Tominator · Napísal **Tominator**: 14.07.2008 13:01

nie pretože ti to urobí toto: <input type="text" value="<h1>Som Majster hacker</h1>">
teda ti vytvorí input s tou hodnotou ...

problém by bol keby si dal:
"><h1>Som majster hacker</h1><input type="text" value="ahoj smejd

a preto môžeš použiť: napr.
<input type="text" name="meno" value="<?php echo htmlspecialchars($_POST["meno"]);?>">

ale stále nemusíš použiť druhé PHPčko ...

Zapamätanie udajov vo formulari po obnoveni

Podobné témy