Než jsem našel tu správnou knihovnu, strávil jsem nějaký čas na Googlu. Nakonec se ukázalo, že žádná jiná pořádně ani neexistuje. Tedy pokud chceme kvalitní produkt, jehož vývoj stále pokračuje. Autor knihovnu průběžně aktualizuje, což je v případě detekce zařízení nejdůležitější aspekt. Dovolte mi, abych vám představil Mobile Detect Library.

Mobile Detect Library
mobiledetect.net

Nasazení si můžete nastudovat na uvedeném odkazu, pro snazší porozumění uvedu příklad i zde.

include_once('libs/detect/detect.php');
if (Detect::isTablet()) {
	$device = 'tablet';
} elseif (Detect::isMobile()) {
	$device = 'mobile';
} else {
	$device = 'desktop';
}

<body class="<?=$device;?>">

Je to opravdu takhle jednoduché. Jenom na jeden malý zádrhel si musíme dávat pozor: metoda Detect::isMobile vrací true i v případě tabletu, proto je nutné dodržet dané pořadí, chceme-li tato dvě zařízení odlišit. Je to vlastně uvedené i na hlavní stránce projektu.

Pak už stačí jen vytisknout proměnnou do třídy <html> nebo <body> a ve stylech můžeme krásně cílit zařízení. Stejně tak v JavaScriptu, kde stačí otestovat element na přítomnost třídy "mobile" respektive "tablet".

if ($('body.mobile').length) {
	// tento blok proběhne pouze na telefonu
}

Třída funguje krásně, nedostatkem může být nejpspíš jen špatná rychlost jednotlivých metod. Pořád je to regulár za regulárem, což chvíli trvá a urychlit to příliš nelze. U mě na webu detekce vezme nějakých 0,02 sekundy, což se nemusí zdát až tak moc, ale pro srovnání - stejně dlouho mi trvá hlavní SQL dotaz na články, ve kterém spojuji víc jak 4 tabulky dohromady...

Každopádně nic lepšího asi neexistuje, a tak si musíme vystačit s tím, co máme zadarmo. A bez práce. Mně detekce slouží dobře: k čemu přesně ji využívám, si řekneme v dalším dílu seriálu "Co jsem dnes udělal pro svůj web".

Knížku jsem totiž psal v době, kdy PHP5 rozhodně nebylo samozřejmostí. Bylo potřeba dodržovat nějakou zpětnou kompatibilitu, která už je ale v tuto chvíli bezpředmětná. Celou miniaplikaci jsem tedy aktualizoval a stejně jako naposledy si i dnes ukážeme, jak ji rozběhnout na vlastním webu. Také si projdeme některé nové funkce a vychytávky, které jsem zachoval, přidal či zrušil.

Prosím berte v potaz, že původní článek je z roku 2007. Hodně se za tu dobu změnilo, a tak návod nemusí odpovídat dnešním standardům. Ukázka ale funguje na PHP5 a můžete ji využít jako první krok k lepšímu porozumnění PHP.

1. Co všechno návštěvní kniha umí

Než si ukážeme, jak knížku nainstalovat, projdeme si, co všechno vlastně umí. Aplikace se skládá ze dvou skriptů (frontend a backend), instalačního souboru, configu, souboru s funkcemi a tří knihoven. Části kódu jsem se snažil okomentovat tak, aby bylo jasné, k čemu přesně slouží. Co vás tedy zajímá, jsou souboru "guestbook.php", "guestbook-admin.php", "config.php" a případně i "functions.php".

Funkce:

• jednoúrovňová reakce na příspěvky: žádná složitá strukturovaná diskuse, pouze první úroveň odpovědí
• základní formátování písma, smajlíci
• několik vrstev antispamu
• administrace
• notifikace na e-mail
• ošetření dlouhých řetězců

2. Přístup do databáze

Tímto začneme. Po rozbalení zipky, ještě před samotnou instalací musíme nastavit přístupové údaje do databáze. Otevřeme soubor "config.php" a hned na začátku upravíme:

$config['db']['host'] = 'localhost';	// db server
$config['db']['user'] = 'root';		// uzivatel
$config['db']['pass'] = '';		// heslo
$config['db']['name'] = 'mysql';	// jmeno databaze

3. Instalace: vytvoření tabulky v databázi

Tabulku můžeme vytvořit buď manuálně nebo spuštěním skriptu "guestbook-install.php". Na první pohled se možná zarazíte, proč se datum ukládá do varcharu namísto jiného, přijatelnějšího formátu: je to pouze kvůli zpětné kompatibilitě. Tak, aby to stále fungovalo, když si vezmete čistě skripty a přepíšete ty původní.

CREATE TABLE `knizka_2` (
	`id` int(10) unsigned NOT NULL   auto_increment,
	`jmeno` varchar(255),
	`text` text,
	`datum` varchar(255),
	`email` varchar(255),
	`web` varchar(255),
	`addr` varchar(255),
	`r` int(11) DEFAULT '0',
	PRIMARY KEY  (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8;

4. Nastavení

Tabulka byla úspěšně vytvořena, nyní se můžeme pustit do rozšířeného nastavení guestbooku a podívat se, co všechno umí. Vrátíme se do souboru "config.php", kde je uvedeno další nastavení.

// vase IP adresa, pro odliseni komentaru (jmeno bude jinou barvou)
$config['guestbook']['myip'] = '127.0.0.1'; 

// po kolika budeme strankovat (reakce nejsou zapocitany)
$config['guestbook']['per_page'] = 10; 

// po kolika budeme strankovat v administraci
$config['guestbook']['per_page_admin'] = 20; 

// heslo do administrace - NEZAPOMENTE ZMENIT
$config['guestbook']['admin_password'] = '123'; 

// IP adresy, z nichz nebude povoleno zanechavat vzkazy
$config['guestbook']['blacklist'] = array(
    '127.0.0.2',
    '127.0.0.3',
);

// dalsi ochrana proti spamu - pokud bude v poli zprava nektere ze zadanych slov, 
// prispevek se neodesle. (piste malymi pismeny)
$config['guestbook']['spamwords'] = 'anatrim website [url] [/url]';

Takto jsou jednotlivé direktivy okomentovány přímo v souboru. Pokud máte pevnou IP adresu, můžete odlišit vlastní příspěvky jinou barvou. Následuje limit stránkování pro frontend i administraci spolu s heslem do administrace. Poslední 2 proměnné jsou pro vlastní ochranu knížky: můžeme zabanovat otravné spammery a definovat seznam slov, které zamezí uložení příspěvku.

Notifikace na e-mail

// budou chodit notifikace na email
$config['notif']['enable'] = true;

// kam budou chodit notifikace, mozno vice oddeleno strednikem
$config['notif']['to'] = 'vas@email.cz';

// odesilatel
$config['notif']['from_name'] = 'Guestbook - nový komentář';

// vzor predmetu
$config['notif']['subject'] = 'Nový komentář od %s';

// vzor pro telo emailu
$config['notif']['body'] = "
	Od: %s
	
	Zpráva: %s 
	
	Odkaz: %s
";

Nová verze knížky vám nyní pošle e-mail s každou novou zprávou. Nastavení je poměrně intuitivní, jediné, co stačí nastavit, je vaše e-mailová adresa. Pokud notifikace nechcete, stačí řádky zakomentovat. Nebo nastavit první proměnnou na false. Nebo prázdný řetězec do adresy. Testování probíhá přes konstrukt !empty, takže blok kódu se pak prostě přeskočí. Pro posílání e-mailu používám vlastní jednoduchou knihovnu, její náhradu za PHPMailera by měl zvládnout každý začátečník.

5. Změny oproti předchozí verzi

Celou knížku jsem dost překopal. Tabulka ale zůstala nezměněna, takže když starý guestbook smažete a nahradíte novým, o uloženou diskusi nepřijdete. Jak už jsem zmiňoval na začátku, hlavní důvod k nové verzi byla zpětná kompatibilita, která v nových verzích PHP už vyhazuje chyby. Co se tedy změnilo dále?

• Třídy ve stylech jsou trochu rozumněji pojmenované, aby to případně nic nepřebíjelo.
• Nasazena databázová třída a stránkovací knihovna - přesně ty, o kterých už jsem psal. Odkazy na články najdete znovu níže jako "Související". Až totiž soudruzi z NDR jednoho dne zakážou mysql_ funkce, změna bude pohodlnější.
• Změnilo se ukládání data, nyní už ve formátu datetime: 2016-01-12. Kvůli zpětné kompatibilitě se ale stále ukládá do sloupce varchar. Každopádně není problém sloupec přetypovat.
• Diskuse už nepřevádí odkazy, protože toto chování považuji za nevyžádané. Stejně tak už se nezobrazuje email - ten uvidíme pouze v administraci.
• Chybové hlášky jsou méně "nasí*ací"
• Systém reakcí je trochu upraven: už nesměruje na novou url, při reakci na reakci se akorát do příspěvku vloží jméno.
• JavaScriptové funkce jsou psány na frameworku jQuery.
• Formátovací značky už se vkládají na pozici vybraného textu (není-li vybraný, pak nakonec).

6. Ukázka a link ke stažení

Ukázka v tuto chvíli není k dispozici. Skript je psaný pro PHP5 a na webu mám nasazené PHP7. Ale ZIPku si stáhnout můžete. 

ZIP archív ke stažení: guestbook.zip

Dnes uživatelé vyžadují větší pohodlí a intuitivnější chování webových aplikací, a tak zobrazujeme chybová hlášení většinou hned vedle daného políčka. Jak jsem už ale zmínil, princip kontrol není třeba měnit. Článek "Je čas udělat Wordpressu pápá" se datuje na 1. 10. 2007, tehdy jsem přešel na vlastní redakční systém, kde používám úplně stejné kontroly v komentářích. A od té doby jsem nezaznamenal jediný spam - tedy spam od neživého návštěvníka. Základní prvky ochrany tedy fungují stále dobře a je na čase si je připomenout.

Prosím berte v potaz, že původní článek je z roku 2007. Hodně se za tu dobu změnilo, a tak návod nemusí odpovídat dnešním standardům. Ukázka ale funguje na PHP5 a můžete ji využít jako první krok k lepšímu porozumnění PHP.

Ukázkový formulář

<? if(!empty($_GET['sent'])){ ?>
	<p class="success">Formulář byl úspěšně odeslán</p>
<? } ?>

<form action="<?=$_SERVER['REQUEST_URI'];?>" method="post">
	<fieldset>
		<legend>Přidej komentář</legend>
		
		<label>Jméno <b>*</b></label><br />
		<input type="text" name="jmeno" value="<?=(isset($_jmeno) ? $_jmeno : '');?>" /><br />
		<?=(!empty($error_messages['jmeno']) ? '<div class="error">'.$error_messages['jmeno'].'</div>' : ''); ?>
		
		<label>E-mail <b>*</b></label><br />
		<input type="text" name="web" value="<?=(isset($_email) ? $_email : '');?>" /><br />
		<?=(!empty($error_messages['email']) ? '<div class="error">'.$error_messages['email'].'</div>' : ''); ?>
		
		<label>Web</label><br />
		<input type="text" name="email" value="<?=(isset($_web) ? $_web : '');?>" /><br />
		<?=(!empty($error_messages['web']) ? '<div class="error">'.$error_messages['web'].'</div>' : ''); ?>
		
		<label>Vaše zpráva <b>*</b></label><br />
		<textarea name="text" rows="4" cols="10"><?=(isset($_text) ? $_text : '');?></textarea><br />
		<?=(!empty($error_messages['text']) ? '<div class="error">'.$error_messages['text'].'</div>' : ''); ?>
		
		<span class="schovany">
			<label>Tohle políčko ponechte prázdné</label><br />
			<input type="text" name="city" /><br />
			<?=(!empty($error_messages['check1']) ? '<div class="error">'.$error_messages['check1'].'</div>' : ''); ?>
		</span>
		
		<label>Kontrola: Opište číslici pět <b>*</b></label><br />
		<input type="text" name="skype" /><br />
		<?=(!empty($error_messages['check2']) ? '<div class="error">'.$error_messages['check2'].'</div>' : ''); ?>
		
		<button name="submit" type="submit">Odeslat</button><br />
	</fieldset>
</form>

Takhle nějak by mohla vypadat základní kostra formuláře. Doporučuji samozřejmě i atributy FOR a ID pro labely a inputy (popřípadě obalit input labelem). Třídu "schovany" nastylujte na display:none. Pokud se na kód podíváte blíže, můžete si všimnout hned tří úrovní ochrany proti spamu, které za chvíli rozeberu. Další dvě úrovně ochrany pak budou schované už v obsluze odesílacího skriptu.

Zpracování dat po odeslání, krok 1: Základní ošetření

Formulář budeme posílat na stejnou url, na které je, takže zpracování odeslaných dat musí proběhnout ještě před zobrazením jakéhokoli HTML kódu. V případě jednoduchého formuláře, na kterém kontrolu předvádím můžeme začít například takto:

<?php
if(isset($_POST['submit'])){
	$_jmeno = htmlspecialchars(trim($_POST['jmeno']));
	$_email = htmlspecialchars(trim($_POST['web']));
	$_web   = htmlspecialchars(trim($_POST['email']));
	$_text  = htmlspecialchars(trim($_POST['text']));
	
	$_check1 = $_POST['city'];
	$_check2 = htmlspecialchars(trim($_POST['skype']));

htmlspecialchars() a trim() je vše, co k ošetření vstupu potřebujete. Při ukládání do databáze je samozřejmě potřeba myslet na escape uvozovek, ale o databázi se v dnešním článku bavit nebudeme. U větších formulářů pak tato kontrola bude napsaná úplně jinak, ale pro začátek je tato ukázka víc než dostatečná. Ukončující závorku záměrně neuvádím, protože v bloku kódu budeme pokračovat.

Zpracování dat po odeslání, krok 2: Antispam

Na pořadí kroku 2 a 3 samozřejmě nezáleží, já zvolil jako první antispam. Jak nahoře ve formuláři, tak zde v prvních pár řádcích PHP jste si mohli všimnout, že jména pole e-mail a web jsou prohozená. To je první past na roboty. Pokud v poli email bude zavináč, vypíšeme chybu a formulář nezpracujeme. Dále zkontrolujeme odpověď na kontrolní otázku a hodnotu skrytého pole: pokud je vyplněno, opět se jedná o robota. Roboti totiž zpravidla vyplní každé pole formuláře nějakými bláboly - a my si proto řekneme, že právě jedno z polí musí být prázdné. Robot ho vyplní a skončil.

Skrytému poli je také dobré dát nějaký výstižný název, na který se roboti nachytají. V mém případě "city", můžete ale uvést i názvy "email_here" nebo cokoli jiného. I kontrolní pole samo o sobě má název, který láká na vyplnění všeho jiného jen ne jednomístného čísla.

Prohození názvů polí samozřejmě můžeme vynechat. V případě, kdy generujeme celý formulář z databáze a atribut name má hodnoty ve tvaru "input_25", "input_26" a podobně, budou nám bohatě stačit dvě antispamová pole pojmenovaná "email", "skype" či v podobném duchu.

Dále provedeme kontrolu zakázaných slov a počet hypertextových odkazů v těle zprávy. Zakázaná slova můžeme mít uložená v databázi nebo jenom staticky v proměnné, na tom nezáleží. Na čem ale záleží je uvedení těch správných frází, které se často vyskytují ve spamu. Pokud takové slovo vloží sám uživatel, dostane chybové hlášení, slovo smaže a příspěvek může odeslat. Robot ale bude ztracen.

	// antispam
	$evil_words = array('[url', 'viagra', 'website');
	foreach($evil_words as $word){
		if(strpos($_text, $word) !== false){
			$error_messages['text'] = 'Zpráva obsahuje některé ze zakázaných slov: '.implode(', ', $evil_words);
		}
	}
	
	if(substr_count($_text, 'http://') > 5 ){
  		$error_messages['text'] = 'Více než pět hypertextových odkazů není povoleno.';
  	}
  	
  	if(strpos($_web, '@') !== false){
		$error_messages['web'] = 'Jste spam, prosím nebuďte spam.';
	}
	
	if(!empty($_check1)){
		$error_messages['check1'] = 'První kontrolní pole ponechte prázdné.';
	}
	
	if($_check2 != 5){
		$error_messages['check2'] = 'Chybně opsaný kontrolní kód.';
	}

Zpracování dat po odeslání, krok 2: Kontrola uživatelských dat

Po prvním bloku kontrol následuje druhý, kde už jenom zkontrolujeme, zda-li jsou vyplněna všechna pole a jestli mají správný formát. Abychom ošetřili samotné tělo zprávy proti dlouhým řetězcům bez mezer, přidáme poslední blok kódu, které rozdělí slova delší než 50 znaků. Pokud je vše v pořádku (proměnná $error_messages nebyla ani jednou naplněna), můžeme provést uložení formuláře a redirect.

	// kontrola uzivatelskych dat
	if(empty($_jmeno)){
		$error_messages['jmeno'] = 'Pole Jméno je povinné.';
	}
	
	if(!preg_match('/^[a-zA-Z0-9_.+-]+@[a-zA-Z0-9-]+\.[a-zA-Z0-9-.]+$/', $_email)){
		$error_messages['email'] = 'Pole E-mail má chybný formát.';
	}

	if(empty($_email)){
		$error_messages['email'] = 'Pole E-mail je povinné.';
	}
	
	if(empty($_text)){
		$error_messages['text'] = 'Pole Vaše zpráva je povinné.';
	}else{
		$text_array  = explode(' ', $_text);
		$text_count  = count($text_array);
		$text_return = NULL;
		
		for($i = 0; $i <= $text_count-1; $i++){
		    $text_array[$i] = wordwrap($text_array[$i], 50, ' ', 1); 
		    $text_return .= $text_array[$i].' '; 
		}
		
		$_text = $text_return;
	}
	
	// uložení dat do DB, odeslání na email + přesměrování
	if(empty($error_messages)){
		$current_url = $_SERVER['REQUEST_URI'];
		$current_url.= (strpos($current_url, '?') === false ? '?sent=1' : '&sent=1');
		
		header('Location: '.$current_url);
		echo '<meta http-equiv="refresh" content="1;url='.$current_url.'" />';
		exit;
	}
} // konec if(isset($_POST['submit']))

Vypsání chyb zpět do formuláře

Jak jste si mohli všimnout v ukázce výchozího HTML, formulář už je na chystaný na zpětný výpis chyb. Pokud bude naplněn některý z klíčů proměnné k tomu určené, na daném místě se vypíše. Pokud bude u některého pole zaznamenáno více chyb, vypíše se vždy jen poslední zaznamenaná: není nutné vypisovat všechny, uživatel formulář odešle a dostane nové chybová hlášení. Když například zapomenu vyplnit e-mail, stačí napsat, že e-mail není vyplněn. Nemusím ještě číst další řádek o tom, že pole neodpovídá regulárnímu výrazu.

Bonus: GEO IP ochrana

Ochrana před přístupy z některých vyjmenovaných zemí je sice věc, která by měla být řešená na úrovni PHP (abychom mohli návštěvníkovi vypsat alespoň hlášení, že je ve špatné lokalitě a celé to mohlo být administrovatelné), ovšem pro malé weby cílené na menší region je tohle vcelku zbytečné. IP adresy některé exotických zemí bývají často využíváné spammery, takže zákazem přístupu z dané země můžeme velice jednoduše přidat další úroveň ochrany. Stačí do souboru .htaccess vložit následující řádky, popřípadě je rozšířit o další domény.

# soubor .htaccess
Deny from .ru # rusko
Deny from .ua # ukrajina
Deny from .cn # cina
Deny from .in # indie
Deny from .sa # saudska arabie

Ukázka

Formulář
Zdrojový kód

Pro získání aktuální url (například v šabloně pro vypsání odkazu či v kontroleru pro zaslání headeru) je potřeba myslet na spoustu věcí. Kromě REQUEST_URI musíme znát rozdíl mezi proměnnými HTTP_HOST a SERVER_NAME, stejně tak, jako testovat https a případný port.

SERVER_NAME obsahuje aktuální doménu včetně subdomén. Pokud je adresa zadaná s www, v proměnné je najdeme, pokud ne, SERVER_NAME je obsahovat nebude. Oproti tomu HTTP_HOST www nikdy neobsahuje, ovšem pokud je v adrese definovaný port, v HTTP_HOST ho narozdíl od SERVER_NAME obsahovat bude. V naší funkci využijeme obou proměnných.

Dále funkci doplníme o nepovinný parametr, který rozliší, zda-li má být aktuální adresa vrácena ve formě pro HTML nebo ve formě pro header. Statickou proměnnou využijeme pro uložení hodnoty v rámci jedné instance a ošetření vícenásobného provádění akce.

function get_url($header = false) {
	static $pure_url = null;
	static $html_url = null;
	
	if (!$pure_url) {
		$url = (isset($_SERVER['HTTPS']) ? 'https://' : 'http://');
		$url .= $_SERVER['SERVER_NAME'];
		$port = explode(':', $_SERVER['HTTP_HOST']);
		if (!empty($port[1])) {
			$url .= ':'.$port[1];
		}
		$url .= $_SERVER['REQUEST_URI'];
		$pure_url = $url;
		$html_url = str_replace('&', '&', $pure_url);
	}
	
	return $header ? $pure_url : $html_url;
}

Výše uvedená funkce slouží opravdu jen pro zjištění řetězce v adresním řádku. Jestliže potřebujeme dynamicky získávat aktuální umístění projektu, je nám to k ničemu... Vlastně to ani nelze. Pokud je totiž kořenový adresář rewritován, dostaneme jeho skutečné umístění, nikoli to změněné přes mod_rewrite. V takovém případě je nutné mít url projektu vždy uloženou v globální proměnné či v databázi.

Další akce, kterou provádím poměrně častěji je vypsání url spolu s přidaným parametrem. Tam je vždy nutné testovat, zda-li aktuální url již obsahuje ampersand nebo otazník a podle toho vypsat patřičný znak pro přidání nového parametru. Za tím účelem jsem si definoval malou funkci get_url_separator, která tento problém vyřeší za mě. V prvním nepovinném parametru mohu předat řetězec, který bude na výskyt otazníku respektive ampersandu testován, v druhém pak opět příznak, jenž rozliší, zda-li bude návratová hodnota použita pro výpis nebo pro přesměrování. Ve funkci využiji výše deklarované get_url.

function get_url_separator($url = null, $header = false) {
	if (!$url) {
		$url = get_url();
	}
	
	if (strpos($url, '?') !== false || strpos($url, '&') !== false) {
		return $header ? '&' : '&';
	} else {
		return '?';
	}
}

To by bylo zatím vše, v pokračování se budu věnovat rewritingu jediné proměnné, jejímu rozparsování a následnému využití při lokalizaci projektu.

Na první záblesky lepších časů jsem narazil až na php.vrana.cz (Mimochodem doporučuji přidat do RSS čtečky), a tak jsem se vlastně dostal k napsání tohoto svého návodu. A jelikož v jednoduchosti je síla, nebudeme například potřebovat žádná zbytečná volání funkcí htmlspecialchars či nesmyslného includování souborů až po odeslání formuláře, a s pomocí pár základních pravidel nakonec snadno vytvoříme přihlašovací systém a registraci uživatelů.

Prosím berte v potaz, že článek je z roku 2008. Hodně se za tu dobu změnilo, a tak návod nemusí odpovídat dnešním standardům. Ukázka ale funguje a můžete ji využít jako první krok k lepšímu porozumnění PHP.

Ale dost řečí okolo, pojďme na to. Jako základ je samozřejmě potřeba vytvořit SQL tabulku pro uživatele.

SQL tabulka

CREATE TABLE `uzivatele` (
    `id` int(10) unsigned NOT NULL   auto_increment,
    `jmeno` varchar(255)  COLLATE utf8_czech_ci,   
    `heslo` varchar(255) NOT NULL,
    `email` varchar(255)  COLLATE utf8_czech_ci,
    `prava` int(10) unsigned  DEFAULT '1', 
    `aktivni` int(10) unsigned  DEFAULT '1',
    PRIMARY KEY  (`id`),
    UNIQUE (`jmeno`)
) ENGINE=MyISAM DEFAULT CHARSET=utf8 COLLATE=utf8_czech_ci AUTO_INCREMENT=0 ;

O uživateli budeme ukládat přihlašovací jméno, heslo, registrační e-mail a jeho práva. Sloupec`aktivni`bude sloužit k pozdějšímu využití, pro implementaci možnosti schválení registrace administrátorem.

.htaccess

Ještě před napsáním prvních řádků skriptu se pustíme do nastavení základních direktiv .htaccessu pro práci se sessions. Zde zakážeme předávání SESSID v url, nastavíme ukládání pouze do cookies a nakonec jeho platnost. Stejného efektu lze docílit i funkcí ini_set, záleží jen na nastavení hostingu, co vám povolí. Nezapomeneme ani na další pojistku proti SQL injection a zapneme escapovaní uvozovek.

php_flag session.use_only_cookies 1
php_flag session.use_trans_sid 0
php_value session.cookie_lifetime 10800

php_flag magic_quotes_gpc on
php_flag magic_quotes_sybase off
php_flag magic_quotes_runtime off

První dva řádky mimo jiné zabrání i generování invalidního inputu do formulářů. Dále máme na pořadu dne konfigurační soubor. V něm nastavíme údaje pro připojení k databázi, připojíme se k ní a nastartujeme session.

Soubor config.php

<?php

error_reporting(E_ALL);

define('DBHOST', 'localhost');		// databazovy server
define('DBNAME', 'mysql');		// jmeno databaze
define('DBUSER', 'root');		// uzivatelske jmeno
define('DBPASS', '');			// heslo k databazi

mysql_connect(DBHOST, DBUSER, DBPASS) or die(mysql_error());
mysql_select_db(DBNAME) or die(mysql_error());

session_start();

?>

Nyní už si můžeme napsat registrační skript. Soubor register.php zpracuje data odeslaná z formuláře, zkontroluje a uloží do databáze. Jméno a heslo namísto projedeme navíc i regulárním výrazem, který žádné zlobivé znaky nepustí dál. Povolíme pouze alfanumerické znaky, pomlčku, podtržítko, tečku a e-mail (pokud je někdo zvyklý uvádět e-mail jako login). Kvůli potencionálním chybám v kódování zakážeme i diakritiku.

Registrace: soubor register.php

<?php

require_once('config.php');

if(isset($_POST['submit'])){
	$message = array();
	
	$_jmeno = trim(htmlspecialchars($_POST['jmeno']));
	$_email = trim(htmlspecialchars($_POST['email']));
	$_heslo = trim(htmlspecialchars($_POST['heslo']));
	
	// kontrola jmena na prazdnotu a regularnim vyrazem
	if(empty($_jmeno)){
		$message[] = 'Pole jméno je prázdné';
	}else{
		if(!preg_match("/^[_a-z0-9\.\-@]*$/", $_POST['jmeno'])){
			$message[] = 'Neplatné znaky v poli jméno.';
		}
	}
	
	// kontrola hesla na prazdnotu a regularnim vyrazem
	if(empty($_email)){
		$message[] = 'Pole e-mail je prázdné';
	}else{
		if(!preg_match('/^[_a-zA-Z0-9\.\-]+@[_a-zA-Z0-9\.\-]+\.[a-zA-Z]{2,4}$/', $_POST['email'])){ 
			$message[] = 'Zadejte platný e-mail.';
		}
	}
	
	// kontrola hesla
	if(empty($_heslo)){
		$message[] = 'Pole heslo je prázdné';
	}else{
		if($_POST['heslo'] != $_POST['heslo2']) { 
			$message[] = 'Hesla se neshodují';
		}
	}
	
	// zkontrolujeme, zda-li v databazi uz nemame stejneho uzivatele
	$select = mysql_query("SELECT `jmeno` FROM `uzivatele` WHERE `jmeno`='".mysql_real_escape_string($_jmeno)."'");
	if(mysql_num_rows($select)>0) { 
		$message[] = 'Zvolte jiné uživatelské jméno.';
	} 
	
	// ulozime udaje, kdyz neni zadna chyba
	// prava i aktivni nastavime na 1
	if(empty($message)){
		$_heslo = md5($_POST['heslo']);
		$_jmeno = mysql_real_escape_string($_jmeno);
		$_email = mysql_real_escape_string($_heslo);
		
		mysql_query("INSERT INTO `uzivatele` VALUES('','{$_jmeno}','{$_heslo}','{$_email}',1,1)");
		header('Location: ./register.php?ok=1');
	}
}

?>

Dále už nám zbývá jen registrační formulář, HTML část souboru register.php. Nad něj vytiskneme případné chybové hlášky, uvedeme také informace o znacích, které jsou ve jménu povoleny.

<!DOCTYPE html> 
<html lang="cs"> 
<head>
	<meta charset="utf-8" />
	<title>Registrace uživatele</title>
</head>
<body>

<?php if(!empty($message)){?>
	<ul style="color:red;">
		<?php foreach((array)$message as $item){?>
		<li><?php echo $item;?></li>
		<?php }?>
	</ul>
<?php }?>

<?php if(isset($_GET['ok'])){ ?>
	<h2>Registrace proběhla úspěšně</h2>
<?php }else{ ?>
	<ul>
		<li>Jméno a heslo se smí skládat pouze z alfanumerických znaků, pomlčky, podtržítka, tečky a zavináče.</li> 
		<li>Nepoužívejte diakritiku.</li>
	</ul>
	<form action="<?php echo $_SERVER['PHP_SELF']?>" method="post">
		<fieldset>
			<legend>Registrace uživatele</legend>
			<p><input name="jmeno" size="20" tabindex="1" type="text" value="<?php echo (!empty($_POST['jmeno']) ? htmlspecialchars($_POST['jmeno']) : ''); ?>" /> <label>Jméno *</label></p>
			<p><input name="email" size="20" tabindex="2" type="text" value="<?php echo (!empty($_POST['email']) ? htmlspecialchars($_POST['email']) : ''); ?>" /> <label>E-mail *</label></p>
			<p><input name="heslo" size="20" tabindex="3" type="password" /> <label>Heslo *</label></p>
			<p><input name="heslo2" size="20" tabindex="4" type="password" /> <label>Heslo znovu *</label></p>
			<input name="submit" type="submit" tabindex="5" value=" registrovat " /><br />
		</fieldset>
	</form>
<?php }?>

<p><a href="login.php">Přihlásit</a></p>
  
</body>
</html>

Nyní k přihlašovacímu skriptu a ověření uživatele. Pro ošetření dat z formuláře použijeme funkci mysql_real_escape_string (mysleme na SQL injection), provedeme SQL dotaz, při kladném výsledku nastavíme sessiony a přesměrujeme do administrace, při výsledku nulovém zašleme zobrazíme chybové hlášení. Pod parametrem v GETu zde také budeme provádět odhlášení.

Přihlášení: soubor login.php

<?php 

require_once('config.php');

if(isset($_POST['submit'])){
	$_jmeno = mysql_real_escape_string(trim($_POST['jmeno']));
	$_heslo = md5(trim($_POST['heslo']));
	
	$select = mysql_query("SELECT * FROM `uzivatele` WHERE `jmeno`='{$_jmeno}' AND `heslo`='{$_heslo}'") or die(mysql_error());
	$udaje  = mysql_fetch_assoc($select);
	
	// pokud je zadano platne jmeno a heslo
	if(mysql_num_rows($select)==1){
		session_regenerate_id(); // osetreni session stealing
		$_SESSION['jmeno'] = $_jmeno; // nastavime sessiony
		$_SESSION['heslo'] = $_heslo;
		$_SESSION['prava'] = $udaje['prava'];
		header("Location: admin.php");
	}else{
		$error_message = 'Chybné přihlašovací údaje';
	}
}
	
// odhlasime se
if(isset($_GET['logout'])){
	$_SESSION['jmeno'] = '';
	$_SESSION['heslo'] = '';
	$_SESSION['prava'] = '';
	unset($_SESSION['jmeno']);
	unset($_SESSION['heslo']);
	unset($_SESSION['prava']);
}

?>

Nakonec už jen vlastní formulář k loginu a můžeme se vesele přihlašovat.

?>
<!DOCTYPE html> 
<html lang="cs"> 
<head>
	<meta charset="utf-8" />
	<title>Přihlášení</title>
</head>
<body>

<?php if(isset($_GET['logout'])){ ?> 
	<p>Byli jste odhlášeni ze systému.</p>
<?php }?>

<?php if(!empty($error_message)){?>
	<ul style="color:red;">
		<li>Chybné přihlašovací údaje</li>
	</ul>
<?php }?>

<form action="<?php echo $_SERVER['PHP_SELF']?>" method="post">
	<fieldset>
		<legend>Přihlášení</legend>
		<p><input name="jmeno" size="20" tabindex="1" type="text" /> <label>Jméno</label></p>
		<p><input name="heslo" size="20" tabindex="2" type="password" /> <label>Heslo</label></p>
		<p><input name="submit" type="submit" tabindex="3" value=" přihlásit " /></p>
	</fieldset> 
</form>
  
<p><a href="register.php">Zaregistrovat</a></p>
  
</body>
</html>

Na závěr bych ještě krátce zmínil kontrolu uživatelů přímo v administraci. Jelikož jsme paranoidní, budeme při každém obnovení stránky tahat údaje z databáze a kontrolovat je s hodnotou SESSION proměnných. Funkci samozřejmě doporučuji includovat z externího souboru a v každém skriptu ji pouze volat. Ta se postará o kontrolu, zda-li je přihlášen skutečný uživatel, pokud ne, přesměruje na přihlašovací skript s hlavičkou 401. Potom je samozřejmě nutné myslet na to, že v případném formuláři na editaci profilu se musí přenastavit session, změní-li se heslo.

Před vlastním HTML výstupem by tedy měly být následující řádky. Samotné odhlášení bude pouze odkaz na login.php s parametrem.

Zaheslovaná sekce: soubor admin.php

<?php

require_once('config.php');

// pouze presmerovani
function unauth_header(){ 
    header('Location: login.php?code=401',401);
    exit;
}

// kontrola uzivatele
// na kazdy refresh probehne kontrola cloveka
function check_user(){
	if(isset($_SESSION['jmeno'],$_SESSION['heslo'],$_SESSION['prava'])){
		$select = mysql_query("SELECT `id` FROM `uzivatele` WHERE `jmeno`='{$_SESSION['jmeno']}' AND `heslo`='{$_SESSION['heslo']}'") or die(mysql_error());
		$udaje = mysql_fetch_assoc($select);
		if(mysql_num_rows($select) != 1){
			unauth_header();
		}
	}else{
		unauth_header();
	}
}

check_user();

?>

Všechny soubory si můžete stáhnout zde: prihlasovani.zip

Edit 19.3.2008: Na připomínky čtenářů jsem přidal další direktivy do souboru .htaccess a také otrimování hesla při přihlašování.

Edit 21. 1. 2016: Skripty byly upraveny tak, aby nepoužívaly deprecated funkce. Systém kontroly registračního formuláře malinko upraven tak, aby lépe vracel chybové hlášky.

Předpokládejme includování stránek podle proměnné $_GET['page'] a odkazy například ve tvaruindex.php?page=kontakt. Jako nejjednodušší řešení lze vytvořit posloupnost několika podmínek:

if ($_GET['page'] == 'kontakt') {
	include 'inc/kontakt.php';
} else if ($_GET['page'] == 'o-nas') {
	include 'inc/o-nas.php';
} else {
	include 'inc/uvod.php';
}

Jako první nedostatek bych zmínil absenci chybové stránky. Při zavolání adresy například index.php?page=tohle-neexistuje je načtena úvodní stránka. Lepší, než kdyby se zhroutil celý vesmír, ovšem my se chceme posunout dál. Proto můžeme vytvořit podmínku, která bude hned jako první, postará se o načtení úvodu při nulové hodnotě proměnné a chybovou stránku 404 zavolá až pod else. Nesprávně bývá uváděno porovnání if ($_GET['page'] == '') předcházející dalšímu testování proměnné $_GET['page'], a právě zde narážíme na další chybu: nedefinovaná proměnná totiž nemá hodnotu empty nýbrž null, tudíž musíme testovat na not null. Upravený zápis by mohl vypadat nějak takto:

if (!isset($_GET['page'])) { // špatně : if ($_GET['page'] == '') 
	include 'inc/uvod.php';
} elseif ($_GET['page'] == 'kontakt') {
	include 'inc/kontakt.php';
} elseif ($_GET['page'] == 'o-nas') {
	include 'inc/o-nas.php';
} else {
	include 'inc/404.php';
}

Tohle řešení je ovšem stále čiré zlo. Jestliže máme například 20 podstránek, neustálé opakování if / elseif … je cesta do pekel. A zde přichází konstrukce switch, kterou implementujeme namísto zbytečných podmínek. Nezapomeneme ani na hodnotu null a chybová stránka 404 zůstane pod default. 

switch($_GET['page']) {
	case null :
		include 'inc/uvod.php';
	break;
	case 'kontakt' :
		include 'inc/kontakt.php';
	break;
	case 'o-nas' :
		include 'inc/o-nas.php';
	break;
	default:
		include 'inc/404.php';
	break;
}

Mnohem lepší řešení než předchozí uvedené, ale to stále nestačí. Zde zmíním další nedostatek, který první a třetí zápis obsahuje: jestliže nastavíme úroveň výpisu chybových hlášek  error_reporting(E_ALL), zmíněné konstrukce vypisují chybu typu notice. Navíc stejně jako sekvence podmínek musíme i ve switchi neustále přidávat další řádky, tři s každou novou podstránkou. Naštěstí ale přichází v pravou chvíli spásná funkce file_exists, díky které zkrouhneme desítky zbytečných řádků do jednoho if / else. Hodnotě proměnné přidáme koncovku *.php a zkontrolujeme, zdali daný soubor existuje. Pokud ano, includujeme. 

if (file_exists('inc/' . $_GET['page'] . '.php')) {
	include 'inc/' . $_GET['page'] . '.php';
} else {
	include 'inc/uvod.php';
}

Jako základ stačí, ale my se přece nebudeme spokojení s žádným ořezaným řešením. Výše uvedená konstrukce opět nemyslí na chybová hlášení typu notice: undefined index, stejně tak na error 404 při nesmyslné hodnotě proměnné. 

Nejdříve otestujeme proměnnou funkcí isset, v případě hodnoty false načteme úvodní stránku. Až uvnitř bude kontrola přes file_exists, načteme požadovaný soubor nebo 404ku. Dynamické načítání stránek může nyní vypadat nějak takto:

if (isset($_GET['page'])) {
	if (file_exists('inc/' . $_GET['page'] . '.php')) {
		include 'inc/' . $_GET['page'] . '.php';
	} else {
		include 'inc/404.php';
	}
} else {
	include 'inc/uvod.php';
}

Závěrečná ošetření

Problém může nastat ve chvíli, kdy uživatel odhadne naši adresářovou strukturu a vyzkouší, co se stane, když napíše od URL například "index.php?page=../index". V takovém případě nás totiž cesta zavede zpět na spouštěcí soubor, a ten bude includovat sám sebe až do zabití procesu. Nejsnazší řešení je použít "include_once" namísto "include", ovšem tady bychom dostali bílou stránkou. A my chceme zobrazit 404 šablonu. Navíc ošetříme notice, kdyby proměnná page náhodou byla array. Include_once necháme, protože tím člověk nic nezkazí. 

if (isset($_GET['page']) && !is_array($_GET['page'])) {
	$page = str_replace(array('/', '\\'), '', $page);
} else {
	$page = null;
}

if (isset($page)) {
	if (file_exists('inc/' . $page . '.php')) {
		include_once 'inc/' . $page . '.php';
	} else {
		include_once 'inc/404.php';
	}
} else {
	include_once 'inc/uvod.php';
}

Unikátní titulek pro každou stránku

Bohužel, dynamická změna obsahu nestačí, je také vhodné tisknout každé podstránce unikátní titulek, keywords či description. Tuto funkcionalitu ale už nebudeme montovat do indexu, ale zanoříme ji k ostatním šablonám. Tedy výše uvedený blok kódu může být celý index.php. 

Ošetření dalších includů uvnitř šablon lze realizovat několika způsoby. Podadresář. Jiný adresář v rootu. Jiná přípona. Já zvolil jinou příponu, protože šablony patří k sobě a měly by u sebe zůstat. 

Nyní k samotnému titulku: z každé šablony "úvod", "o-nas" a "kontakt" vyjmeme hlavičku a patičku, vložíme ji jedinkrát do dalšího souboru a tam vyechujeme nastavenou proměnnou. Toť vše. Keywords a description můžeme vyřešit stejně.

uvod.php

<?php
	$title = 'Úvod'; 
	include_once '_header.phtml'; 
?>

	<h1>Úvodní stránka</h1>

<?php include_once '_footer.phtml'; ?>

_header.phtml

<!DOCTYPE html>
<html>
<head>
	<meta charset="utf-8">
	<title><?php echo (!empty($title) ? $title : ''); ?> | Můj web</title>
</head>
<body>
	
	<header>
		Header
	</header>

To by bylo snad vše, co jsem na srdci měl, a pro ty z vás, kteří by si chtěli stáhnout těch pár souborů, na kterých jsem toto testoval, nabízím ukázku ke stažení.

ZIP archív

Edit 26. 4. 2020: Článek byl zrevidován za účelem vhodnější struktury samotných šablon a lepšího ošetření vstupu.