Cái link đó dùng để assign giá trị cho biến lang là vn, rồi sau đó, dựa vào biến này để hiển thị ngôn ngữ đúng với lựa chọn của người dùng thôi, đâu có sử dụng kỹ thuật gì nhiều đâu bạn  

Mình muốn làm 1 cái form điền thông tin vào mà ko có nút submit. khi điền đầy đủ chỉ cần nhấn enter là tất cả các thông tin sẽ được truyền đi đến trang sử lý. Mong các bạn hướng dẫn mình  

Opp thì mình đã từng học rồi.
ví dụ $user1 = new user(); $user2 = new user().
Và trong class user() có 2 phương tức get và set ,.....
Nói chung mình đã học rồi trong C++
Nhưng trong thiết kế web thì mình chưa hiểu rõ ý nghĩa .Theo như mình hỏi ở trên tức là

file class.php
<?php
Class User
{
private $css;
public function set_css($a)
{$a=$css}
public function get_css()
{return $css}
....
?>
 

Trong 1 trang khác mình

<?php
include('class.php');

' Chứng thực user thành công sẽ...
$user = new user();
$user->set_css();
....

?>
 

Nếu làm như trên thì có hợp lý không vậy. Ý mình là vậy đó.
{Code trên chỉ là demo} 

Mình muốn dùng Class trong PHP để thiết kế 1 trang web,nhưng mình chưa rõ ý nghĩa của việc dùng class là như thế nào. Mình trình bày cách hiểu của mình ở đây, nếu sai mong các bác sửa dùm.
Ví dụ với user cần lưu trữ css,sessionid,noidunguser,. . .

<?php
Class User
{
public function set_css($a)
{..... }
public function get_css()
{..... }
public function set_sessionid($a)
{..... }
public function get_sessionid()
{..... }
...........
}
?>
 

Giả sử khi user chứng thực thành công thì mình new 1 biến kiểu class user và set all thuộc tính của nó vào đó à.
$user= new User();
Sau đó trong xử lý các phần sau trog cùng 1 trang thì mình cứ việc get info ra phải ko vậy?
Nếu như vậy thì nhiều user vào trang đó nó sẽ tạo nhiều class. Mà 1 class chứa quá nhiều info thì web có chạy châm hơn không?
Nếu có 1 vài thuộc tính mình muốn sử dụng ở trang khác thì ngoài session mình có thể dùng class không vậy?

---Một vấn đề nữa là:
Giả sử trong trang web gồm 4 nội dung A,B,C,D của user tương ứng được load từ database. Khi user click vào 1 trong 4 nội dung này thì bên dưới thẻ DIV khác sẽ hiện nội dung tươngứng A',B',C'hay D' mà không load lại trang web (dùng ajax). Mình nghĩ rằng cứ mỗi lần như ậy sẽ tốn băng thông kết nối đến database nênmình nghĩ ra 1 cách dùng cookie là.
Khi user click vào A,B,C hay D (giả sử B) thì ta sẽ kiểm tra có tồn tại cookie chaứ nội dung B' hay không. Nếu có thì load lên, nếu không có thì sẽ connect database lấy về và set xuống cookie. Khi user thay đổi nội dung B' thì ta sẽ update vào db đồng thời set lại cookie.
Mình nghĩ như vậy có hợp lý hay không? Và làm thực tế không biết có khả thi hay không?
Mong mọi người giúp đỡ
Thanks
 

em muốn tự làm nhưng bước đầu thấy hơi khóa khan nên muốn xin code mẫu. Sau này hiểu rõ hơn sẽ làm lấy. 

Mình góp ý 1 chút, hình như proA.Vito chưa thực sự thử với ajax thì phải. Nên chú ý 1 chút là nếu đứng về phía client thì ajax thực ra chỉ là Javascript. Vì thế, hacker ko thể trực tiếp "hack" vào database trên server được.

Cái mà bạn nói:

view source sẽ có đoạn onblur='tên hàm javascript', xóa đoạn đấy đi, lưu vào 1 file html khác, rồi chạy file đó lên. Thế là ko còn kiểm tra được cái tên user đó đã tồn tại chưa 

thì đối với cái nhìn từ phía server, các thông tin được submit lên (cho dù bạn dùng cách nào đi nữa, ajax hay js thông thường, hoặc chỉ là HTML) thì nó sẽ chứa tên của user đang cần check. Và vì thế, vấn đề kiểm tra được hay ko, nó ko hề phụ thuộc vào phía client, mà là do phía server đảm nhiệm.

Điều này

giả sử mình sử dụng ajax để thêm 1 user vào db 

Như đã nói ở trên là client ko thể thêm user vào db được nếu phía server ko cho phép. Vì thế, vấn đề của bạn là chạy các script 1 cách cẩn thận ở phía server, kiểm tra input rõ ràng, ... chứ ko phải đề phòng "hacker lo mấy vụ chỉnh sửa html, chèn js ở phía client".

Tóm lại, là bạn thử viết 1 ứng dụng ajax cho client chèn user vào db xem sao, bạn sẽ thấy cái nào là mấu chốt trong việc chèn user, và ajax có vai trò gì trong quá trình đó. Nếu ko thực sự làm, mình e là các thắc mắc của bạn sẽ xa vời mãi. 

proA.Vito wrote:

@Cái 1: người dùng thích cái gì nhanh và đơn giản, dễ dùng :"> Thì nếu bình thường mình nghĩ để ứng dụng AJAX ở càng nhiều chức năng càng tốt. Nhưng mình nghĩ là trong câu hỏi của mình, thì nên đặt ở vị trí của 1 hacker, xem nó có thể phá hoại mạnh nhất ở chức năng nào để tránh những nguy cơ đó đi

@Cái 2: Thỉ rõ ràng rồi :"> nhưng vấn đề ở đây là phân biệt thế nào khi dữ liệu truyền vào là ở trong câu lệnh select hay delete :"> 

1. Đang nói khía cạnh người dùng mà, hack hiếc gì ở đây không phải cứ xài càng nhiều Ajax vào càng nhiều chức năng là càng tốt đâu
2. Muốn delete thì gọi đến function delete, muốn select thì gọi đến function select chứ sao nữa mình phải xác định lúc nào del hay lúc nào select để truyền vào url cho đúng, chứ không lẽ bắt nó phải tự hiểu hay sao nà? 

proA.Vito wrote:

Đấy đấy... Đúng rồi đấy... Vì mình chưa trả lời được 2 câu này nên mình mới phải post bài hỏi mọi người. Đọc sách chỉ thấy nó nói ajax có thể làm được cái này cái nọ mà chẳng nói đến lỗ hổng bảo mật của nó ra sao, ảnh hưởng thế nào tới người dùng Nhưng theo cách hiểu của tớ (còn đang non kém) là không nên làm những công việc như thêm, sửa, xóa db => sợ bị hack lắm Dùng câu lệnh select thôi. Nhưng nghĩ lại thấy nếu nó dùng sql injection, thêm dấu -- vào đằng sau, rồi chèn thêm câu lệnh delete nữa thì chít ( (mặc dù có thể validate input được cái này, nhưng chắc vẫn có cách phá được cái validate đấy :">, nếu không thì cái thằng sql injection không nổi tiếng như thế ) ) 

Cái 1: đặt mình vào trường hợp của người dùng (chứ không phải của một coder) để biết người dùng cần gì
Cái 2: Thêm, xóa hay sửa thì phải dựa vào khóa chính của trường muốn sửa (id chẳng hạn) --> kiểm tra cái này cộng với kiểm tra (hay kiểm soát) dữ liệu được truyền từ client side  

proA.Vito wrote:

Oh` ý tưởng của bạn khá hay... Để mình thử làm xem. Cảm ơn bạn nhé!!! Thế ngoài việc dùng để check form đăng ký ra, ajax còn có thể làm gì nữa nhỉ :"> Nó có nên dùng để làm các công việc như insert user vào db, hay là xóa thông tin gì trong db ko? Hay chỉ nên dùng để truy xuất và hiện thị dữ liệu thôi  

Có nên dùng vào mục đích nào đó hay không thì phải phụ thuộc vào các yếu tố:
1. Có dễ sử dụng không? Có gây rắc rối gì cho người dùng không?
2. Có đảm bảo sẽ kiểm soát được các lỗi có thể xảy ra không
và nhiều yếu tố nữa chưa nghĩ ra
Nếu trả lời xong được các câu hỏi đó thì bạn sẽ biết có nên hay không  

proA.Vito wrote:

Cảm ơn ý kiến của anh :X ... Nhưng vấn đề em đang thắc mắc là khi mình thì muốn check sự tồn tại của thằng user đó, nhưng do lỗi hổng bảo mật mà em vừa nói, thì công việc check đó ko thực hiện được... Đầu tiên phải lo đến việc có thực hiện được việc check hay không đã rồi mới dám tính nó check thế nào chứ anh hi` hi`.  

À à, có cách này, bạn xem thử có hợp lý không nhé
1.Trong trang reg nick, mặc định bạn sẽ cho disable nút submit (hoặc disable sự kiện submit của form).
2.Khi sau khi dùng Ajax để check cái username đó, nếu và chỉ nếu server side trả về status của username là available thì cũng đồng thời trả về một biến, mình dựa vào giá trị của biến này để enable sự kiện submit form kia. Điều này sẽ tránh được trường hợp như bạn nói, không kiểm tra nick thì sẽ không có giá trị trả về để enable sự kiện submit.
Hy vọng là mình viết không quá khó hiểu  

Khi dùng js (clien script) để gửi thông tin lên web server, ở đó bạn sẽ chạy 1 script nào đó như PHP (server script) dùng để tiếp nhận thông tin đó, xử lí nó và trả lại kết quả cho client script trên. Để tránh lỗi bảo mật thì khi server script khi nhận được thông tin cần phải kiểm tra rõ ràng trước khi xử lí, để tránh các lỗi phát sinh, VD như request ko hợp lệ, request chứa các mã nguy hiểm, ...

VD như script về register ngonchan nói ở trên, có thể minh họa tạm thế này:
người dùng đăng kí, điền vào username => js được kích hoạt kèm theo sự kiện nào đó (onblur chẳng hạn) => gửi request (chứa username) đến server => server client, giá sử là PHP sẽ nhận username đó => PHP query database xem username tồn tại ko => PHP trả lại kết quả cho client => JS bắt được kết quả này và hiển thị cho người dùng.

Ajax cũng có 1 quy ước nhằm tránh lỗi bảo mật là không cho phép cross-domain, nếu file js của bạn ko nằm cùng 1 domain với serverscript thì ko thể gửi request đến được.

PS: gọi là server-side và client-side chắc hợp lí hơn nhỉ  

Chứ mình có nói Ajax không dùng các sự kiện trên Javascript đâu hè Bản thân cái tên Ajax cũng nói lên điều này (truy xuất bất đồng bộ giữa Javascript và XML)
Về đoạn màu đỏ: đây là một trong những lỗi bảo mật của Ajax mà bạn đã hỏi, do đó, để tránh điều này thì bạn phải kết hợp cả client side và server side để tránh tình trạng bị tùy biến và điều khiển trên client side. 

1. Bạn có thể thử qua JQuery framework, dễ học, dễ sử dụng.
2. vd cho bạn một chức năng: kiểm tra tên đăng nhập khi người dùng đăng kí thành viên vào trang web, sử dụng Ajax để xem tên người dùng vừa nhập vào đã tồn tại hay chưa.
3. Giải quyết 2 cái trên đi đã  

proA.Vito wrote:

iam60487 wrote:

Bạn nói thử xem cái này có ứng dụng như thế nào cho trang web của bạn?
Mình nghĩ không nên làm vì:
+ Mỗi user mỗi tài khoản, đăng ký thì dễ lại chẳng giới hạn thành viên(hay web của bạn ngược lại?) cho nên chẳng ai dùng tk người khác đâu (không xét trường hợp mất pass).
+ Làm thế này làm cho máy chủ chạy chậm hơn là dùng session.

Có gì xin chỉ bảo!

 

Mình nghĩ nếu để 2 user đăng nhập cùng lúc, thì người không phải chủ thật của acc đó sử dụng acc này để làm những việc linh tinh thì không tốt, ví dụ post bài linh tinh, thay đổi thông tin cá nhân, ăn cắp thông tin, ... Ví dụ như 1 web bán hàng, thằng kia vào thay đổi thông tin liên hệ của acc đó như số điện thoại (nếu trang đó xác thực việc đặt hàng bằng cách gọi điện), rồi đặt một món hàng nào đó. Thì trang web sẽ gửi món hàng về cho người chủ thật mà người đó không biết. Rồi nhiều trang web khác nữa, mọi trang mình nghĩ sẽ nảy sinh nhiều vấn đề khác nhau...

Nhưng thực ra cái việc này rất hiếm xảy ra, vì rất ít khi 2 người đăng nhập cùng lúc. Nhưng mình nghĩ nên chặn được bao nhiêu thì cứ chặn thôi

Nếu mình nghĩ sai thì mọi người góp ý nhé!!! Thanks mọi người 

Vậy bạn nghĩ tiếp đi là nếu bạn có chức năng đó thì nó có giải quyết được vấn đề không?

1. Chủ nhân thật login trước --> "tên kia" không login được ==> tốt
2. "Tên kia" login trước --> chủ nhân thật chỉ còn nước khóc, không login vào để đổi password hay "đẩy" tên kia ra được ==> bạn tự nghĩ hậu quả

==> vậy vấn đề cốt yếu là 1. Nó có giải quyết được vấn đề không? 2. Nó có làm phát sinh thêm vấn đề gì nữa không? 

Bạn nói thử xem cái này có ứng dụng như thế nào cho trang web của bạn?
Mình nghĩ không nên làm vì:
+ Mỗi user mỗi tài khoản, đăng ký thì dễ lại chẳng giới hạn thành viên(hay web của bạn ngược lại?) cho nên chẳng ai dùng tk người khác đâu (không xét trường hợp mất pass).
+ Làm thế này làm cho máy chủ chạy chậm hơn là dùng session.

Có gì xin chỉ bảo!

 

không dùng được onunload thì dùng cách khác vậy
- đầu tiên trong bảng loginOfUser bạn thêm 1 cột là Time
Khi login thì ghi thời gian thực và cột Time đó
- Trong code PHP bạn Sét thời gian OUT cho Session hoặc Cookies là 30p hoặc tùy ở đây mình lấy 30p

Khi login bạn check thêm thời gian thực và thời gian trong database là được 

proA.Vito wrote:

ducmanh wrote:

Ý của anh ấy là giả sử user login rồi tự nhiên treo máy, mất điện,... cắm PC ở nhà rồi vác Laptop ra ngoài dịch vụ, đi làm hay bất cứ máy khác thì cũng sẽ kô login được do chưa click "close" để đóng trình duyệt hay logout

 

Cái em muốn hỏi anh là cơ chế "Single Sign On" cơ. Nhưng em cũng lên google search rồi... Em cũng hiểu cái cơ chế này là gì rồi hi` hi`. Cảm ơn ông anh đã hướng dẫn :X 

Cái Single Sign On và cái bạn hỏi trong bài đầu tiên nó khác nhau...nửa vòng trái đất!
Tôi đang tự hỏi không biết bạn có thực sự hiểu cái mà bạn đã post lên không nữa. 

Ý của anh ấy là giả sử user login rồi tự nhiên treo máy, mất điện,... cắm PC ở nhà rồi vác Laptop ra ngoài dịch vụ, đi làm hay bất cứ máy khác thì cũng sẽ kô login được do chưa click "close" để đóng trình duyệt hay logout

 

Dơn giản như đan rổ bạn sử dung onunload
Code:

onunload="logout.php"

bạn có thể gán thẳng bào body hoặc dùng javascript cụng được
_Thành mới có gì không phải mong các bạn chỉ bảo_ 

Giải quyết được vấn đề click nút close thì cũng đâu có giải quyết được vấn đề rớt mạng hay cúp điện --> user lần sau cũng không login vào lại được.
==> vậy cái cần nên sửa chính là cái cơ chế bắt user chỉ được login 1 lần kìa!
 

sao bạn kô thử dùng cookie hay session, cách này đơn giản hơn nhiều. không phải lưu trữ info user vào database.

Ps: nên dùng session thì tốt hơn. 

Hacker tấn công được 1 website thì anh ta phải rất hiểu cách tạo ra nó. Ví dụ như các sản phẩm open source như bọn Joomla 1.5, phpbb3 có nhiều người tìm ra lỗi bảo mật của nó vì họ đọc được code ( tôi nằm trong số đó, hehe smilie). 

Vâng ạ ! Em nghe theo lời mấy anh nói ngay, hiện nay thì em chỉ dở môn nào tính tính toán toán thâu... Còn mấy môn khác thì em học cũng bình bình, hiện nay thì em đang tích cực để học cho cái đầu "ngu dốt" này nâng cấp thêm được 1 tý...
Em lười khi không có gì hứng thú thôi còn mấy cái vụ này thì khác
Lập trình thì em cũng đọc qua 1 số e-book và nắm được vài khái niệm cơ bản rồi, nhưng mà để trở thành Hacker giỏi thì phải học qua 6 loại ngôn ngữ lận, sự thật có phải vậy không mấy anh ? Học như vầy thì 10 năm sau đẻ được đứa thứ 1 rồi mới trở thành Hacker quá...