http://coloredlists.com
A continuación vamos a concluir algunas cosas al hablar de algunas de las selecciones que realizamos, las precauciones de seguridad, y las ideas que nosotros (y usted) tienen una versión 2.0 de esta aplicación.
Navegación completa de la serie
Parte 1 - Planificación de la aplicación: Idea y diseño básicos
Parte 2 - Planificación de la aplicación: la arquitectura de base de datos y enfoque de desarrollo
Parte 3 - Diseño de la aplicación: Mapa de flujo de trabajo de diseño y Photoshop
Parte 4 - Diseño de la aplicación: HTML y CSS
Parte 5 - El desarrollo de la aplicación: Interacción de usuario
Parte 6 - El desarrollo de la aplicación: La interactividad Agregar AJAX
Parte 7 - Desarrollo de la aplicación: Interacción Lista
Parte 8 - Seguridad y futuro La
Y finalmente .... la aplicación! Listas de color
Programación orientada a objetos
Porque siempre debe aspirar a ser eficiente en la programación, hemos construido esta aplicación con el concepto de la programación DRY en mente. DRY significa "No Repeat Yourself" y debe estar en algún lugar cerca del núcleo de nuestra filosofía de programación.
En nuestra opinión, teniendo la programación orientada a objetos (POO) enfoque fue la mejor manera de mantener este DRY aplicación. POO nos permite agrupar los métodos comunes juntos y por separado a cabo las tareas sin necesidad de pasar parámetros de función en función. Por un poco más de información sobre la programación orientada a objetos y por qué es beneficioso, leer la introducción de Jason a la programación orientada a objetos.
Seguridad
La seguridad es muy importante en cualquier aplicación. Tenemos los usuarios con cuentas que son el almacenamiento de datos con nosotros. Los usuarios están poniendo su confianza en nosotros para asegurarse de que sus datos están seguros, lo que incluye su contraseña y toda la información que han entrado en las listas. Esta aplicación ya está bastante maldito seguro. Las contraseñas se almacenan en formatos encriptados y nunca envían sin cifrar a través de correo electrónico. Toda la interacción que ocurre con la base de datos es segura. Sólo los usuarios que se registran en puede emitir órdenes que impliquen cambios de base de datos, y aquellos usuarios sólo son capaces de emitir órdenes que afectan a sus propios datos.
Pero debido a que hay una variedad de cosas AJAX pasando en esta aplicación, nuestras necesidades de seguridad a tener en cuenta algunos escenarios más. En primer lugar, nuestro código JavaScript (al igual que todos los navegadores) es públicamente visible. Este JavaScript contiene el código para realizar llamadas AJAX, es decir, la dirección que estamos enviando a los datos y lo que esa URL está esperando. Esto le dice a los atacantes potenciales un poco de buena información sobre cómo pueden enviar peticiones maliciosas. Debido a esto, tenemos que tener mucho cuidado y asegurarse de que todos los datos entrantes se escapó correctamente.
Seguridad en el lado del servidor
Consejos para evitar los ataques contra el lado del servidor implica dos principales factores de riesgo: en primer lugar, la posibilidad de ataques de base de datos, y segundo, la posibilidad de que un usuario malintencionado podría enviar datos peligrosa que hiere nuestra aplicación o usuarios de alguna manera al ser leídos fuera de la base de datos y se muestran . Afortunadamente, PHP nos proporciona varios métodos para combatir estos riesgos.
DOP
ataques de base de datos, llamado inyección de SQL, son una forma particularmente repugnante de atacar. Una base de datos se pueden leer vulnerables, manipulados o eliminados en su totalidad por un usuario malicioso. Esto significa que es realmente importante que tengamos ningún tipo de inyección de SQL suceda.
Por suerte para nosotros, PHP Data Objects (PDO) prácticamente elimina el riesgo de inyección de SQL a través de la utilización de declaraciones preparadas, que son como consulta de plantillas que podemos personalizar con parámetros. Todas las escapar es hecho por nosotros cuando los parámetros se insertan en la consulta, por lo que es prácticamente imposible para la inyección de SQL que se produzca durante el uso de declaraciones preparadas.
Fue debido a esta ventaja de seguridad de gran alcance que hemos elegido DOP para esta aplicación. (Tenga en cuenta que comandos preparados no son exclusivos de la DOP; otras extensiones de bases de datos, tales como MySQLi, también los apoyan.)
Escapando de datos
Mientras DOP es de gran alcance contra la inyección de SQL, no nos ayuda cuando he leído la información de la base de datos. Si un usuario malintencionado inyecta etiquetas peligrosas en nuestra base de datos, todavía serán peligrosos cuando son recuperados a menos que tomemos medidas para sanear los datos del usuario.
Afortunadamente, PHP tiene funciones integradas que permitan llevar a cabo la desinfección de base de datos del usuario. Estamos a saber, utilizando strip_tags () con una lista blanca para asegurarse de que no script etiquetas u otras etiquetas potencialmente peligrosas convertirlo en la base de datos. También, porque no queremos ese tipo de cosas que se le permitiera, estamos realizando este escapar antes de los datos se inserta en la base de datos.
Seguridad en el código JavaScript
En primer lugar, una buena medida es "Pack" el Javascript por lo que no es tan fácil de leer, así como descargas más rápidas. Hay un montón de herramientas disponibles para hacer esto, incluyendo esta por Edwards Dean.
Cliente Sanitización secundarios
En segundo lugar, porque estamos ingresando datos y convertirlos en torno a la pantalla inmediatamente en la pantalla, lo mejor es hacer algo de ese lavado de entrada directamente en el código JavaScript. Cuando un usuario introduce un elemento de la lista nueva, vamos a dar dos pasos para fregar ella. Primero vamos a asegurar que no se picardía tratando de insertar Javascript inmediatamente ejecutables en enlaces:
Entonces también vamos a fregar que el texto de entrada para cualquier otro HTML. Algunos HTML que permitirá, en caso los usuarios quieren dar a sus listas un poco como con las etiquetas " y similares. Con debajo de la función, vamos a acabar con todas las etiquetas, excepto los establecidos en una lista blanca.
NOTA: La función strip_tags () utiliza a continuación es parte de la php.js proyecto, Que ha portado una serie de útiles funciones PHP a Javascript.
Estas funciones se implementan en js / lists.js antes de enviar la petición AJAX que añade un nuevo elemento de lista ...
POST vs GET
Una pequeña medida última que hemos tomado para proteger nuestra aplicación es utilizar más de POST GET para todas nuestras llamadas AJAX. Esto se hace porque el método GET sólo debe utilizarse para la recuperación, y no para cualquier acción que modificará los datos de ninguna manera.
La razón principal para no usar GET para modificar los datos es que una solicitud presentada mediante GET se envía en la dirección URL (es decir, http://example.com?get=request&is=this&part=here). Hay un peligro inherente en la modificación de los datos basados en la información difundida en el URL en que un usuario puede hacer doble procesamiento por casualidad refrescantes su navegador.
Una razón secundaria, menos importante usar POST es que es un poco más fuerte para enviar una solicitud POST utilizando falsos, que proporciona una (leve) de disuasión a los usuarios malintencionados.
2.0 Características
Por supuesto que nuestro trabajo como diseñadores y desarrolladores nunca se hace. Este es un buen comienzo para una aplicación de lista simple y utilizable, pero de inmediato las nuevas características saltan a la mente. Aquí están algunas ideas de maneras de expandir la funcionalidad. Tal vez un poco complicar las cosas, pero son todas las ideas grandes, probablemente suponiendo que se aplica de manera adecuada.
Lista de distribución
Introduzca una dirección de correo electrónico a alguien para compartir la lista con. Compartir significa literalmente edición colaborativa. El usuario tendría una cuenta, por lo que si ya tienen uno que acaba de ser enviado por correo electrónico y le pidió sumarse a la lista (que pueden aceptar o no aceptar). Si la dirección de correo no tiene una cuenta, que sería ascendido a unirse a primera.
Múltiples listas
Ahora un usuario puede tener una sola lista. Probablemente sería útil para los usuarios de mantener varias listas. Tal vez un menú desplegable para alternar entre las listas y un simple botón para añadir otras nuevas. Un montón de interfaz para pensar que aquí, incluyendo encontrar la manera de eliminar las listas.
RSS
Cada lista puede tener su propio feed RSS. Opciones probablemente sería necesario, como lo sería la fuente RSS contiene (por ejemplo, ¿Quieres ver las entradas para cuando elementos de la lista se completan o no?). Feed URL podría ser larga galimatías URL, por lo que son en esencia totalmente privada a menos que se comparte.
interfaz de iPhone
Accediendo a través de iPhone u otro dispositivo móvil tendría una mejor experiencia de más optimizada.
Finalizar con un regalo!
En un esfuerzo por promover su nuevo libro, PHP para Absolute Beginners, Jason está regalando cinco ejemplares de la misma al azar. Para participar en el concurso, dejar un comentario sobre este artículo y utilizar el texto "PHP para principiantes absolutos" en el comentario. Asegúrese de utilizar su dirección de correo electrónico real para que podamos ponernos en contacto con usted. Vamos a elegir a los ganadores al azar el próximo viernes.
Incluso si usted no gana una copia gratuita (o no quieren esperar), queremos darle un poco somethin 'algo' para pegar a través de esta serie: usted puede conseguir el 10% del eBook versión de PHP para principiantes absolutos utilizando el código de descuento: PHPXBRZQXSIKG (Bueno a través de 12.31.2009).
¿Cuál es su opinión?
Dar a nosotros directamente: ¿qué te parece? ¿Qué características le gustaría ver incluido en la versión 2.0 de Listas de color? ¿Acaso olvida algo? ¿Hay agujeros en el código? Nos encantaría ver a su optimización, ideas, críticas constructivas y otras, vamos a escuchar en los comentarios!
Autor de las series
Jason Lengstorf es un desarrollador de software con sede en Missoula, MT. Él es el autor de PHP para principiantes absolutos y regular los blogs sobre la programación. Cuando no está pegado a su teclado, que está de pie probable en línea para el café, la cerveza su propia cerveza, o soñando con ser un mythbuster.Chris Coyier es un diseñador que actualmente vive en Chicago, IL. Es co-autor de Excavando en WordPress, Así como blogger y conferencista en todo el diseño de las cosas. Lejos de la computadora, es probable que se encuentre gritar a los entrenadores de fútbol en la tele o recoger un banjo.
0 comentarios:
Post a Comment