Блог веб-программиста

29Май/090

Yii — создание своих типов Action-ов

Пишу одно прлиожение на Yii Framework. Структура приложения такова, что необходимо разграничить экшены контроллеров(CController) по папкам и сделать их типовыми.
Экшены разграничиваются легко.
Предположим, что у нас есть ряд экшенов для администрирования. Всем им надо установить какие-либо свойства или же сделать при их вызове какие-то типовые действия.
Рассмотрим на примере изменения титла страницы.
Вот код моего базового экшена:

class dotPlantAdminAction extends CAction
 {
 /**
 * Constructor.
 * Runs CAction constructor and makes some changes for Admin action type
 */
 public function  __construct($controller,$id)
 {
 parent::__construct($controller,$id);
 $this->controller->pageTitle       = dotPlant::getName() . " - Admin ";
 
}
 
public function run()
 {
 
 }
 }

В конструкторе мы сначала вызываем parent::__construct с необходимыми параметрами. Это грубо-говоря идёт инициализация базового CAction.

Допустим у нас есть контроллер SettingsController. И нам нужно сделать его на основе нашего экшена. Создаем папку  protected/controllers/Settings/. В ней создаем файл ActionAdmin.php с таким вот кодом:

class ActionAdmin extends dotPlantAdminAction
{
 public function run()
 {
    $this->controller->render('admin');    
 }
}

Видите? Нам достаточно только объявить run() и уже всё готово. При загрузке запустится необходимый нам конструктор базового контроллера с нашими действиями.

Вот по такому принципу я разграничиваю например админку в своей CMS dotPlant на Yii Framework. Слава PHP пятому!

Связано с категорией: Code Нет комментариев
10Авг/070

Yet Another Tip: Всегда проверяйте входные параметры

Данная статья находится в стадии написания. Не обращайте внимание на ашипки. Ани сделаны спицальна.

"Вот и все... и нету Билла... жадность Билла погубила!" - м/ф "Остров сокровищ", Россия

Вот сколько народу не говори: "Проверяйте входные параметры! Не доверяйте им! Юзер может их изменить! Особенно, если эти данные потом идут в базу!", а всё равно народ про это забывает. Вот совсем недавно. В одном казино заметил такую фишку..

Товарищ, писавший его наверное где-то встречал подобные статьи на сабж, но или они были написаны чайником для промо своего сайта, или просто этот человек плохо читать умеет. Кодер сий написал однажды интернет казино.. Увы ООПом тут и не пахнет... Даже массивы используются раза два-три за весь проект... Контент сайта инклудится из обычных файлов. Да, эти файлы нельзя просто так нагло прочитать, религия htaccess не позволяет. Да и выйти на папку выше тоже не получается, проверяется этот параметр регэкспом вида альфанумерик. Это умно, это молодец. Кое какие параметры у него даже проверяются на содержание коварных символов ",`,' .. Да... Это он конечно молодец и несмотря на всю убогость кода, этот момент он пытался(именно пытался) продумать...

Главная убогость кода в том, что он работает только при register_globals = on! Но это вряд ли поможет, ибо зачастую(не всегда, но бывает) переменные определяются ручками. Однако! Перейдем к игре...

В казино есть игры, которые просто работают через <form> и метод POST. Игрок делает ставку, нажимает и получает результат. Все вроде нормально. Однако! Кодер ЛОПУХ! Разве можно доверять входным данным? Никак нет! НИКОГДА! Я даже своей бабушке верю больше чем им! Так вот попробуем догадаться как выглядит исходник... Напишу на родном русском языке:
если ставка больше суммы_на_счету то пошел на фиг;
если все нормально играем;
если мы выиграли то сумма_на_счету=сумма_на_счету + ставка умноженная на коеффициент выигрыша в игре, если мы проиграли, то сумма_на_счету=сумма_на_счету - ставка;

Поскольку все люди жадные, особенно те, что заведуют казино, то естественно выиграть вам там не дадут.... От того мы проигрываем больше чем выигрываем. С этим все согласятся... Ну и отсюда естественный вывод. А что если нам проиграть, но с отрицательной ставкой? А? Словили фишку? Вот тут то весь и прикол. Если параметр не проверяется, то будет так:
сумма_на_счету = сумма_на_счету - отрицательная_ставка;
Кто хотя бы отдаленно был когда то в далеком детстве знаком с математикой помнит глупое правило: минус на минус дают плюс... Да! Оно тут срабатывает, ибо параметр не проверяется. Эта штука также подходит к условию, что ставка должна быть меньше либа равна суммы на счету, ибо отрицательное число всегда меньше неотрицательного:) Истина)

Вот такие вот косяки и приводят к огромным проблемам!

А теперь бонус, кусок злого кода на PHP:

PHP:

mysql_query("update users set cash=cash-'$stavka' where login='$l'"); /** Юзер проиграл */

if ($card==$tuz2) /** Юзер выиграл */

{

$priz=$stavka*3;

mysql_query("update game_bank set wmr=wmr-'$priz' where name='lloto'");

mysql_query("update users set cash=cash+'$priz' where login='$l'");

}

Послесловие:
Также, ещё одно вполне разумное умозаключение имеет место быть. Допустим у нас игра наперстки. Это три наперстка, надо угадать где приз. Скрипту может передаваться также ведь и параметр с номером выбранного наперстка. Если же он не проверяется, то заменив его допустим на номер 4 мы будим всегда проигрывать!
Естественно я об этой фигне сказал админу этого казино, которому было кстати 17! Он все закрыл и отблагодарил меня) Трави бобров.. ой.. твори добро.. во!

Внимание, данные действия могут попадать под статьи УК РФ!
Bethrezen

настроение: Довольное
слушаю: Lamb Of God - Purified

Связано с категорией: Code Нет комментариев