provkapitel för boken Webbserverprogrammering 1

WEBBSERVERPROGRAMMERING 1 - LÄROBOK
FÖRLAGETS FÖRORD
Detta är ett smakprov av Läroboken Webbserverprogrammering 1. Boken är anpassad efter
gymnasieskolans kursplan GY2011 för kursen Webbutveckling 1 med kurskod WEBWEB01.
Boken är skriven av Lars Gunther. Erfaren gymnasielärare inom bl.a. webbutveckling och
programmering. Boken är utgiven av Thelin Läromedel. Boken finns även tillgänglig för läsning
via internet via Skolportalen eBooks.
Boken bygger vidare utifrån innehållet i boken Webbutveckling 1. Om du inte redan har läst den,
så förutsätts att du inhämtat motsvarande kunskaper på annat håll.
Om du käre läsare skulle hitta något i boken som du inte tycker stämmer eller om du saknar
någon viktig del så får du gärna meddela detta till oss. Vi är oerhört tacksamma för alla
kommentarer och tips. Det går bra att e-posta till [email protected]
Eventuella uppdateringar och rättelser till boken som tillkommit efter denna upplagas tryckning
finns att ladda hem på Skolportalen, www.skolportalen.se.
Till boken hör en Arbetsbok med praktiska övningar. Gör övningarna i arbetsboken efter varje
kapitel i denna bok.
En lärarhandledning kommer också att utkomma. I denna finns värdefulla tips till läraren.
Thelin Läromedel och Lars Gunther, juni 2013.
Detta ”smakprov” innehåller en preliminär planering av hela bokens innehåll. Utifrån den
respons vi får och vilka begränsninga som kan dyka upp i form av sidantal och liknande, så
kan den planen revideras. Speciellt gäller det alla underrubriker
Samtliga varumärken som förekommer i boken tillhör innehavaren av varumärket.
OBSERVERA ATT ALL KOPIERING ELLER ANNAT MÅNGFALDIGANDE AV DENNA BOK ELLER DELAR
AV DEN ÄR FÖRBJUDET ENLIGT LAG.
THELIN LÄROMEDEL, LIDKÖPING
Tel. 0510-66100, www.skolportalen.se
Första upplagan, utskriven 2013-06-17
Beställningsnummer J200 4550
Tryckeri: JustNu
ISBN: 978-91-7379-241-7
© THELIN LÄROMEDEL & LARS GUNTHER 2013
1
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
FÖRFATTARENS FÖRORD
Det här är boken jag själv hade behövt läsa när jag började programmera för webben. Jag
gjorde nämligen alla tänkbara misstag.
1. Jag skapade invecklad och svårläst grötkod.
2. Jag skapade system som var vidöppna för olika slags attacker.
3. Jag byggde system vars funktion berodde på tekniken och tvingade användarna att
anpassa sig efter den, i stället för tvärtom.
Detta berodde inte på att jag inte lyssnade på råd eller läste böcker i ämnet. Tvärtom så
berodde det på just att jag följde dåliga råd. Jag fick inte redan från början lära mig vilka råd
som var värda att lyssnas till och vilka råd som borde förkastas. Jag lärde mig till en början bara
hur PHP fungerade rent språkligt, inte så mycket om sammanhanget där programmen körs.
Detta är en bok om webbserverprogrammering på grundnivå. Boken är anpassad efter
gymnasieskolans kursplan GY2011 för kursen Webbserverprogrammering 1 i ämnet
Webbteknik, men kan också användas som första material på högskolan eller för egna studier.
Jag som skriver boken har varit ämnesexpert åt Skolverket när kursplanerna i webbteknik tagits
fram. Dessutom är eller har varit jag aktiv inom flera organisationer som ägnar sig åt
webbutveckling och speciellt undervisning i ämnet
Till boken kommer att höra en arbetsbok och en lärarhandledning, samt instruktionsfilmer i
videoform. Dessa kan nås på adressen http://webbteknik.nu/
Lödöse 2013
Lars Gunther
2
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
ATT ANVÄNDA DETTA LÄROMEDEL
Innehållet i detta kapitel är i stort sett identiskt med samma kapitel i boken Webbutveckling 1.
Den här boken är upplagd i kapitel som täcker ett område åt gången. Efter varje kapitel
uppmuntras du göra arbetsuppgifterna som finns i arbetsboken. När du ska göra övningar så
markeras det så här:
Gör nu övningarna i Arbetsboken till kapitel X
Alternativt kan du varva mellan lärobok, videofilmer och arbetsbok enligt den plan som finns på
bokens webbplats.
Arbetsbokens övningar kan vara såväl enkla frågor som besvaras på plats, som större uppgifter
att utföra i datorn. Men även i denna huvudbok kan det finnas praktiska moment som du bör
göra för att få största möjliga utbyte av läromedlet.
Typografiska konventioner
 Källkod är färgmarkerad enligt en konvention som förklaras i avsnitt xyz.1
 Källkod som står mot gul bakgrund är att betrakta som föredömlig, medan källkod som
står mot ljus orange bakgrund är mindre bra.
 Särskilt intressanta delar markeras med fetstil och kursiveras.
 Facktermer markeras med rödbrun färg och fet kursiverad stil.
 Text i varningsrutor visas med kursiv text i en blå ruta.
 Text i tipsrutor eller förslag på fördjupningsläsning
visas i en grön ruta.
Text i en varningsruta
Text i en tipsruta
 Namn på organisationer, personer, allmänna nyckelord, program, filnamn och objekt i
datorn markeras med blå text.
1
Ingen färgkodning i dessa provkapitel.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
3
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Många gånger kan man inte hitta bra hjälp om webbutveckling på svenska, utan måste söka på
engelska. Därför kommer alla nyckelord att skrivas på båda språken, utom då motsvarande ord
saknas på svenska eller när översättningen är självklar.
Webbplats
Det finns en webbplats till boken med ytterligare resurser på adressen http://webbteknik.nu/
På den här adressen kommer det läggas upp videofilmer som är anpassade till att vara
komplement till den här boken. När det finns filmer som matchar bokens kapitel, så markeras
det genom att ordet ”video” skrivs vid rubriken.
Lägg märke till att fler filmer kan komma att läggas till efterhand, så kolla gärna webbplatsen när
du läser varje kapitel, oavsett symbolen.
Här kommer också alla länkar från boken att finnas, samt kodexempel och nedladdningar – och
om händelsevis något fel smugit sig in i texten så kommer det finnas rättelser här också.
Till sist: Vad denna bok inte är
(I likhet med boken Webbutveckling 1.)
 Detta är inte en ”kokbok” som ger dig 1-2-3 recept för att bygga en webbsida. Boken vill
ge dig förståelse för vad du sysslar med.
 Detta är inte en referensbok som ger dig kompletta genomgångar kring varje teknik.
Sådant finns på nätet. Den här boken vill hjälpa dig förstå vad det är du läser där.
 Detta är inte din viktigaste kunskapskälla! Det är dina egna experiment och diskussionen
med andra utvecklare. Den här boken vill ge dig en knuff att komma igång att koda, samt
ge dig ord att använda för sådana samtal.
Genom att lära dig facktermer och principer för god praxis, så är det min förhoppning att du
ska kunna lösa praktiska problem genom att söka på nätet eller ställa välformulerade frågor i
diskussionsforum. Det här är en bok som vill hjälpa dig förstå, så att du kan på ett bra sätt
ta till dig information från de många uppslagsbokliknande resurserna som finns på Internet
och kunna avgöra vilka ”recept” som är goda och vilka som är dåliga.
Just för att detta är en lärobok, så kommer somliga resonemang vara förenklade, detaljer och
alternativ hoppas över, etc. Detta är en lärobok, inte teknisk dokumentation.
4
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
INNEHÅLLSFÖRTECKNING
FÖRLAGETS FÖRORD ....................................................................................................................... 1
Författarens förord ......................................................................................................................... 2
Att använda detta läromedel ........................................................................................................... 3
Typografiska konventioner ................................................................................................................... 3
Webbplats ............................................................................................................................................. 4
Till sist: Vad denna bok inte är .............................................................................................................. 4
Innehållsförteckning ....................................................................................................................... 5
Ämnesplan och kursplan ................................................................................................................. 9
Ämne – Webbteknik ............................................................................................................................. 9
Kursplan för Webbutveckling 1........................................................................................................... 10
1 Kom igång med PHP ..................................................................................................................15
1.1
Installation av PHP på Linuxdatorer ..................................................................................... 16
1.2
Installation av PHP på Windows och Mac OS X .................................................................... 17
1.3
Ett första PHP-skript ............................................................................................................. 18
1.4
En komplett webbsida med inslag av PHP............................................................................ 21
1.5
Variabler, enkel- och dubbelfnuttar...................................................................................... 23
1.6
Några korta anmärkningar om PHP som språk (syntax och kompilering) ............................ 24
1.7
OK, hur lär jag mig detta? ..................................................................................................... 26
2 ett par ytterligare exempel ........................................................................................................29
2.1
Visa datum, månad, tid, etc.................................................................................................. 30
2.2
Ett slumpmässigt valt citat.................................................................................................... 31
2.3
Räkna antalet tecken i ett namn och skriv det baklänges .................................................... 32
3 PHP:s historia, versioner, styrkor och svagheter .........................................................................36
4 Att använda PHP som ett mallsystem .........................................................................................39
4.1
Samma sida, men olika innehåll ........................................................................................... 39
4.2
Återanvändning av kod mellan olika sidor............................................................................ 39
5 PHP som programmeringsspråk .................................................................................................40
5.1
Kommentarer sparar tid ....................................................................................................... 40
5.2
Värdetyper ............................................................................................................................ 40
5.3
Variablers namngivning och räckvidd (scope) ...................................................................... 40
5.4
Tilldelning ............................................................................................................................. 40
5.5
Några operatorer .................................................................................................................. 40
5.6
Jämförelser, sant och falskt .................................................................................................. 41
© THELIN LÄROMEDEL & LARS GUNTHER 2013
5
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
5.7
PHPCodeSniffer .....................................................................................................................41
6 Säkerhetstänk ........................................................................................................................... 42
6.1
Problemkällor ........................................................................................................................42
6.2
Principer ................................................................................................................................42
6.3
Filter input – escape output ..................................................................................................42
6.4
Fulkod döljer säkerhetshål – och är svårare att underhålla ..................................................42
7 Strängar .................................................................................................................................... 43
7.1
UTF-8 kräver mb-funktionerna..............................................................................................43
7.2
Verifikation av välformad UTF-8 ............................................................................................43
7.3
Ta bort HTML eller ”eskejpa” den..........................................................................................43
8 Arrayer ..................................................................................................................................... 44
8.1
”Min array är inte lik din array”.............................................................................................44
8.2
Definiera arrayer, lägg till, ändra och ta bort värden ............................................................44
8.3
Använda arrayvärden i textsträngar ......................................................................................44
8.4
Loopa genom arrayer med foreach .......................................................................................44
8.5
Array-liknande strukturer ......................................................................................................44
9 Funktioner i PHP ....................................................................................................................... 45
9.1
En funktions funktion ............................................................................................................45
9.2
Sök i manualen, din funktion finns nog redan där! ...............................................................45
9.3
Hellre returnera än skriva......................................................................................................45
9.4
Dokumentera dina funktioner ...............................................................................................45
9.5
Håll alla definitioner för sig och inkludera dem ....................................................................45
10 Objekt i PHP ............................................................................................................................. 46
10.1
Vad är ett objekt ....................................................................................................................46
10.2
Klasser – objekt av en viss typ ...............................................................................................46
10.3
Statiska metoder ...................................................................................................................46
10.4
OO syntax i PHP kontra andra språk ......................................................................................46
11 Databaser och datalagring ........................................................................................................ 47
11.1
Alternativ ...............................................................................................................................47
11.2
MySQL och MariaDB .............................................................................................................47
11.3
Databaser och databashanterare (DBMS) .............................................................................47
11.4
Tabeller, fält, index, poster, relationer ..................................................................................47
PhpMyAdmin .........................................................................................................................47
11.5
12 Att ansluta till en databas och hämta värden ............................................................................. 51
13 Inloggning och lösenordshantering ............................................................................................ 59
13.1
Vad ska ett autentiseringssystem kunna? .............................................................................59
13.2
Bygga eget eller använda befintligt? .....................................................................................59
6
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
13.3
13.4
Sessioner............................................................................................................................... 59
Inloggning för läxhjälpens administratörer .......................................................................... 59
14 Formulär och PHP ......................................................................................................................60
14.1
Ett första exempel................................................................................................................. 60
14.2
Get och post ......................................................................................................................... 60
14.3
Läs med filter-funktionerna .................................................................................................. 60
14.4
Sätt inte användaren på pottkanten ..................................................................................... 60
14.5
Hantera framgången rätt ...................................................................................................... 60
15 Från formulär till databas ..........................................................................................................61
15.1
Lägga in nya poster ............................................................................................................... 61
15.2
Ändra befintliga poster ......................................................................................................... 61
15.3
Radera poster ....................................................................................................................... 61
16 Skicka mejl med PHP .................................................................................................................62
16.1
SMTP och SMTP-injektion .................................................................................................... 62
16.2
Ett exempel ........................................................................................................................... 62
17 Att ha kul med PHP ....................................................................................................................63
17.1
Snygga URL:er ....................................................................................................................... 63
17.2
Skapa annat än HTML-kod .................................................................................................... 63
17.3
Ajax ....................................................................................................................................... 63
17.4
Webbtjänster – att kommunicera med andra servrar .......................................................... 63
17.5
Att skriva PHP-moduler för befintliga applikationer ............................................................ 63
17.6
Att använda ramverk och klassbibliotek............................................................................... 63
17.7
Internationalisering och lokalisering .................................................................................... 63
18 Infrastruktur för utveckling ........................................................................................................64
18.1
En ”riktig” IDE ....................................................................................................................... 64
18.2
Utvecklingsmaskin, staging server, produktionsserver ........................................................ 64
18.3
Webbhotell ........................................................................................................................... 64
18.4
Projekthantering och dokumentation .................................................................................. 64
INDEX ............................................................................................................................................68
© THELIN LÄROMEDEL & LARS GUNTHER 2013
7
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Plats för anteckningar:
8
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
ÄMNESPLAN OCH KURSPLAN
Ämne – Webbteknik
Webbteknik används för att utveckla och vidareutveckla statiska och dynamiska webbsidor,
webbplatser, webbapplikationer eller andra applikationer där webbtekniker används, till
exempel applikationer för mobiltelefoner. Ämnet webbteknik behandlar tekniska aspekter på
olika slags mediaformat och samspelet mellan beställare, användare, formgivare och utvecklare.
Ämnets syfte
Undervisningen i ämnet webbteknik ska syfta till att eleverna utvecklar färdigheter i att skapa
produkter med hjälp av webbteknik. Eleverna ska ges möjlighet att utveckla kunskaper om olika
webbteknikers konstruktion och funktionalitet samt samspelet mellan olika sorters
applikationslogik. Genom undervisningen ska eleverna ges möjlighet att utveckla produkter som
följer standarder och nationella och internationella riktlinjer för god praxis, användbarhet,
tillgänglighet och säkerhet. Undervisningen ska leda till att eleverna utvecklar kunskaper om
relevanta lagar och andra bestämmelser samt förmåga att göra webbrelaterade etiska
överväganden.
I undervisningen ska eleverna ges möjlighet att utveckla kunskaper om och färdigheter i att
använda utvecklingsverktyg för att producera och kontrollera framställning av den kod som
driver webbplatser eller applikationer. Eleverna ska också ges möjlighet att utveckla färdigheter
i att använda befintliga verktyg för administration av webbservrar och databaser.
Vid utveckling av webbtekniska applikationer arbetar man oftast i projektform, varför
undervisningen ska ge eleverna möjlighet att utveckla kunskaper om projektarbetets olika faser
samt tillfälle att arbeta i projekt.
Undervisningen i ämnet webbteknik ska ge eleverna förutsättningar att utveckla
följande:
1. Kunskaper om internets historia, betydelse, terminologi och funktionalitet.
2. Förmåga att planera, genomföra, dokumentera och utvärdera utvecklingsprojekt för
webbplatser och webbapplikationer eller andra slags applikationer som bygger på
webbtekniker.
3. Kunskaper om de tekniker som används för att bygga webbplatser och
webbapplikationer samt dessa teknikers vidgade roll inom annan mjukvaruutveckling.
4. Kunskaper om tekniker för dynamiska webbplatser.
5. Kunskaper om teckenkodning och förmåga att hantera olika standarder för
teckenkodning.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
9
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
6. Förmåga att bygga webbplatser och webbapplikationer enligt standarder och riktlinjer
för god praxis samt med god tillgänglighet för människor med olika förutsättningar.
7. Kunskaper om applikationsarkitektur, inklusive separation av olika slags logik.
8. Kunskaper om lagar och andra bestämmelser inom området samt förmåga att göra
etiska överväganden och reflektera över integritetsfrågor.
9. Kunskaper om säkerhet och förmåga att identifiera och motarbeta attacker.
Kursplan för Webbserverprogrammering 1
Kurskod: WEBWEB01
Kursen webbserverprogrammering 1 omfattar punkterna 1—2 och 4—9 under rubriken Ämnets
syfte, med särskild betoning på punkterna 2, 4—5 och 9.
Centralt innehåll
Undervisningen i kursen ska behandla följande centrala innehåll:











10
Webbserverns och dynamiska webbplatsers funktionalitet.
Utvecklingsprocessen för ett webbtekniskt projekt: målsättningar, planering,
systemering, kodning, dokumentation och uppföljning.
Dokumentation av utvecklingsprocess och färdig produkt, inklusive kod och
mjukvarugränssnitt.
En översikt över olika lösningar eller språk som finns för att skapa dynamiska
webbplatser.
Grunderna i informationshanteringssystem och ramverk.
Grundfunktionen i ett programmeringsspråk för dynamiska webbplatser.
Datalagring, i relationsdatabas eller med annan teknik.
Teckenkodning: begrepp, standarder och handhavande.
Kodning och dokumentation enligt vedertagen praxis för den teknik som används i
sammanhanget.
Kvalitetssäkring av dynamiska webbapplikationers funktionalitet, säkerhet och
kodkvalitet.
Säkerhet: vanliga attackvektorer mot webbapplikationer och de viktigaste principerna
för att hindra attacker.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Kunskapskrav
Betyget E
Eleven beskriver översiktligt dynamiska webbplatsers och informationshanteringssystems
historia och hur de samspelar med olika tekniker på webben. Dessutom beskriver eleven
översiktligt olika tekniska alternativ som finns för webbserverprogrammering och
informationshantering.
Eleven gör en enkel projektplan för en tänkt produkt. I projektplanen beskriver eleven
översiktligt produktens funktion. Utifrån projektplanen utvecklar eleven i samråd med
handledare produkten, där presentationslogiken i begränsad utsträckning är skild från
produktens övriga logik. I arbetet utvecklar eleven kod som i begränsad utsträckning är läsbar
och kommenterad. Produkten uppvisar enkel funktionalitet med ett språk för webbserverprogrammering och tillhandahåller en enkel lösning för datapersistens mellan sidvisningar. I
arbetet redogör eleven också översiktligt för vanliga problem som beror på felaktigt angiven
teckenkodning i olika applikationer.
Produkten är av tillfredsställande kvalitet och följer etablerad god praxis.
När arbetet är utfört gör eleven en enkel dokumentation av de moment som har utförts samt
utvärderar med enkla omdömen sitt arbete och resultat.
Eleven redogör översiktligt för innehållet i lagar och andra bestämmelser som rör publicering på
webben samt följer dem i sitt arbete. Dessutom identifierar eleven någon attackvektor mot
produkten och vidtar någon enkel åtgärd för att förhindra den.
Eleven använder med viss säkerhet enkel terminologi inom området.
När eleven samråder med handledare bedömer hon eller han med viss säkerhet den egna
förmågan och situationens krav.
Betyget D
Betyget D innebär att kunskapskraven för E och till övervägande del för C är uppfyllda.
Betyget C
Eleven beskriver utförligt dynamiska webbplatsers och informationshanteringssystems historia
och hur de samspelar med olika tekniker på webben. Dessutom beskriver eleven utförligt olika
tekniska alternativ som finns för webbserverprogrammering och informationshantering.
Eleven gör en genomarbetad projektplan för en tänkt produkt. I projektplanen beskriver eleven
utförligt produktens funktion och arkitektur. Utifrån projektplanen utvecklar eleven efter
samråd med handledare produkten, där presentationslogiken är skild från produktens övriga
logik. I arbetet utvecklar eleven kod som följer en given kodningsstandard och är
© THELIN LÄROMEDEL & LARS GUNTHER 2013
11
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
kommenterad. Produkten uppvisar funktionalitet med ett språk för webbserverprogrammering
och tillhandahåller en enkel lösning för permanent datalagring. I arbetet redogör eleven också
utförligt för vanliga problem som beror på felaktigt angiven teckenkodning i olika applikationer
samt väljer och anger lämplig teckenkodning.
Produkten är av tillfredsställande kvalitet och följer etablerad god praxis. Detta kontrollerar
eleven med några tester.
När arbetet är utfört gör eleven en noggrann dokumentation av de moment som har utförts
samt utvärderar med nyanserade omdömen sitt arbete och resultat. I utvärderingen gör eleven
välgrundade reflektioner över hur beslut har tagits i arbetet.
Eleven redogör utförligt för innehållet i lagar och andra bestämmelser som rör publicering på
webben samt följer dem i sitt arbete. Dessutom identifierar eleven några attackvektorer mot
produkten och följer grundläggande principer för att förhindra dem.
Eleven använder med viss säkerhet terminologi inom området.
När eleven samråder med handledare bedömer hon eller han med viss säkerhet den egna
förmågan och situationens krav.
Betyget B
Betyget B innebär att kunskapskraven för C och till övervägande del för A är uppfyllda.
Betyget A
Eleven beskriver utförligt och nyanserat dynamiska webbplatsers och informationshanteringssystems historia och hur de samspelar med olika tekniker på webben. Dessutom beskriver
eleven utförligt och nyanserat olika tekniska alternativ som finns för webbserverprogrammering och informationshantering.
Eleven gör en genomarbetad projektplan för en tänkt produkt. Vid behov reviderar eleven
planen. I projektplanen beskriver eleven utförligt och nyanserat produktens funktion,
arkitektur och mjukvarugränssnitt. Utifrån projektplanen utvecklar eleven efter samråd med
handledare produkten, där presentationslogiken är skild från produktens övriga logik. I arbetet
utvecklar eleven kod som följer en given kodningsstandard och är utförligt kommenterad.
Produkten uppvisar tillräcklig funktionalitet med ett språk för webbserverprogrammering för
att driva en helt databasbaserad webbplats eller en jämförbart avancerad produkt och
tillhandahåller en lösning med viss komplexitet för permanent datalagring. I arbetet redogör
eleven också utförligt och nyanserat för vanliga problem som beror på felaktigt angiven
teckenkodning i olika applikationer, väljer och anger lämplig teckenkodning samt anger hur
enklare problem som relaterar till teckenkodningar hanteras.
12
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Produkten är av god kvalitet och följer etablerad god praxis. Detta kontrollerar eleven både
manuellt och med flera tester.
När arbetet är utfört gör eleven en noggrann och utförlig dokumentation av de moment som
har utförts med koppling till generella principer och testresultat samt utvärderar med
nyanserade omdömen sitt arbete och resultat och ger förslag på hur arbetet kan förbättras. I
utvärderingen gör eleven välgrundade och nyanserade reflektioner över hur beslut har tagits i
arbetet.
Eleven redogör utförligt och nyanserat för innehållet i lagar och andra bestämmelser som rör
publicering på webben samt följer dem i sitt arbete. Dessutom identifierar eleven flera
attackvektorer mot produkten och följer grundläggande principer för att förhindra dem.
Eleven använder med säkerhet terminologi inom området.
När eleven samråder med handledare bedömer hon eller han med säkerhet den egna förmågan
och situationens krav.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
13
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Plats för anteckningar:
14
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1 KOM IGÅNG MED PHP
Det här är en bok om webbserverprogrammering. Det finns programmering för olika
sammanhang:



Somliga program körs på en PC med Linux, Windows eller Mac OS X som operativsystem.
Somliga program körs i inbäddade system, d v s olika slags smådatorer som kanske
användarna aldrig ens tänker på att de är en dator
Somliga program körs på mobiltelefoner och kallas vanligtvis "appar".
Ordet körmiljö (Run Time Environment, RTE) används för att beteckna olika sammanhang där
ett program kan exekveras. För webben så finns det två grundläggande körmiljöer:


Klientprogrammering (client side programming, Front End Engineering) för kod som
ska köras (exekveras) inuti webbläsaren. Här dominerar JavaScript nästan fullständigt
som programmeringsspråk.
Webbserverprogrammering (server side scripting) för kod som ska köras på
webbservern. PHP är det vanligaste språket för den här sortens programmering, men
det finns många alternativ.
Smakprov från arbetsboken
Uppgift: Hitta fem vanliga alternativ till PHP. Tre till Apache. Fem till MySQL/MariaDB.
Vad är en körmiljö?
Körmiljöer är ett ord som betecknar den kombination av hårdvara och gränssnitt, i vilket
ett program exekveras. (Gränssnitt är ett programs ”kontaktyta” mot andra program och
system.) Faktorer som operativsystem, mjukvarubibliotek och nätverk påverkar körmiljöns
utformning.
Det finns också något som bara kallas serverprogrammering, och då inkluderas också servrar av
andra slag (beräkningsservrar, LAN-servrar, etc).
PHP exekveras på servern och resultatet skickas till klienten, vanligtvis en webbläsare.
JavaScript körs (vanligtvis) på klienten och resultatet visas för användaren
Eftersom PHP främst är ett språk för webbserverprogrammering, så behöver vi börja med att
installera en webbserver med PHP-stöd innan vi på allvar kan testa någon kod. Vi kommer för
den här boken behöva installera tre saker:
© THELIN LÄROMEDEL & LARS GUNTHER 2013
15
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1. Webbservern. Den vanligaste är Apache, men för 99 % av alla exempel i boken så funkar
det med vilken webbserver som helst, bara den stödjer PHP.
2. PHP.
3. En databashanterare. MySQL eller MariaDB används i boken (detta förklaras längre
fram).
4. För att skapa och sköta databaser så kommer vi använda PhpMyAdmin, som också
behöver installeras.
Lägg märke till att du för utvecklingsbehov först installerar dessa program på din egen dator.
Längre fram ska vi titta närmare på en mer komplett uppsättning servrar.
Ordet webbserver kan betyda två saker: Dels den dator (eller det kluster av datorer) som
är serverhårdvara, dels det program som tillhandahåller själva tjänsten att servera
resurser över http-protokollet. Den första sortens server är en dator man köper (eller hyr
in sig på), den andra är program man installerar på en dator.
När installationen är klar, så kommer du ha en webbserver installerad på din dator. Den mesta
PHP-kod som vi skriver kommer att köras genom den. Du kan inte öppna en PHP-fil direkt i
webbläsaren, utan webbservern måste anropas av webbläsaren, så att servern kan exekvera
PHP-koden och sända resultatet till webbläsaren. (Jag tjatar om detta, för av erfarenhet vet jag
att just denna ack så viktiga ”detalj” haft en säregen tendens att inte fastna i minnet på mina
elever.)
När installationen är klar, så behöver du hålla reda på vilken katalog i filsystemet som är
webbserverns arbetskatalog (webbroten, web root). Du måste lägga dina PHP-program i
den katalogen! Annars kan de inte köras. Du kan inte lägga PHP-filer i någon katalog
utanför denna, eftersom webbservern ska exekvera dem.
I kapitel xyz kommer vi gå igenom hur du kan göra dina egna inställningar som påverkar detta.
1.1
Installation av PHP på Linuxdatorer
Alla ledande Linuxdistributioner har färdiggjorda installationspaket för det vi behöver. Sök på
nätet efter hur det fungerar på just din distribution.
En sak att se upp med på Linux är att PHP-installationen ofta delas upp i många små delpaket.
Innan du går vidare med kapitel tre, så behöver du eventuellt göra vissa tilläggsinstallationer för
att få med alla delar som behövs.
16
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1.2
Installation av PHP på Windows och Mac OS X
Du kan antingen installera alla nödvändiga program separat, genom att följa instruktionerna
som finns på deras webbplatser, men det är inget jag rekommenderar för nybörjare, eftersom
det finns en faslig mängd kombinationer av program och moduler att hålla reda på. I stället kan
du använda XAMPP, som ger dig alla de saker du behöver.
XAMPP finns också för Linux, men det är varken lättare eller tekniskt bättre att använda
XAMPP än Linuxdistributionernas egna programvarupaket.
Innan du installerar XAMPP, så finns det några viktiga saker att hålla reda på.


Du behöver normalt inte installera FileZilla FTP Server, Mercury eller Tomcat (gäller
Windows).
Om du använder installationsprogrammet, så välj inte att installera programmen som
systemtjänster, utan som vanliga program som du kan starta och stoppa manuellt, med
XAMPP:s egen kontrollpanel. Som systemtjänst så kommer programmen alltid starta
ihop med operativsystemet och sedan ligga och ta upp lite minne även när de inte
behövs.
XAMPP hittas på adressen http://www.apachefriends.org/en/xampp.html
PHP installeras, men är inget program du behöver starta och stoppa själv. Webbservern
(Apache) anropar PHP åt dig. Du kan nu starta webbservern. MySQL kommer inte behövas än på
ett tag.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
17
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1.3
Ett första PHP-skript
Traditionen bjuder att det första skript man ska köra är ”Hello World”, men det är för tråkigt, så
skriv i stället koden nedan i en textredigerare2. Lägg märke till att av utrymmesskäl så är raden
med det andra echo-kommandot radbruten över två rader här i läroboken, vilket jag markerar
med pilen . Du ska alltså inte skriva det tecknet!
<?php
header("Content-type: text/html; charset=utf-8");
if (empty($_GET['name'])) {
echo '<h1>Hej du okände</h1>';
} else {
echo '<h1>Hej ', filter_input('INPUT_GET', 'name', 
FILTER_SANITIZE_SPECIAL_CHARS), '</h1>';
}
Spara detta i din webbrot som hello.php och (med webbservern igång) öppna sedan adressen
http://localhost/hello.php med din webbläsare. Resultatet ska se ut ungefär så här:
Ändra nu adressen något och skicka med en GET-parameter3:
http://localhost/hello.php?name=Åsa
Resultatet ska nu bli så här:
Testa gärna med ett namn som innehåller någon av våra krångliga bokstäver (å, ä eller ö).
Så vad är det som händer?
2
Se avsnittet om verktyg (2.4.1) i Läroboken Webbutveckling 1. Ett traditionellt exempel finns i PHP-manualen:
http://www.php.net/manual/en/tutorial.firstpage.php
3
Se avsnittet Query strings och fragment identifiers (1.4.5) i Läroboken Webbutveckling 1.
18
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK









På första raden har vi en tagg som säger till tolken att det som nu följer är PHP-kod och
ska tolkas som sådan. Varför den behövs framgår av nästa exempel. Filändelsen ska
också vara php, annars kommer webbservern (normalt) inte ens att försöka tolka PHPkoden.
Andra raden är en instruktion till webbservern att skicka ett HTTP-huvud, som klargör
att innehållet är av MIME-typen text/html och att teckenkodningen är UTF-8.4 Det
första är standardvärde (default), men det är inte helt säkert att teckenkodningen som
standard är UTF-8. Testa gärna att ta bort denna rad och se om resultatet blir
annorlunda.
På tredje raden så har vi ett villkor, där vi frågar om det finns en GET-parameter som
heter ”name” och om den i så fall har ett värde, vilket som helst utom 0 (noll). Eller
rättare sagt, vi frågar om den saknas eller om den finns och har värdet 0. I båda fallen
betraktas variabeln som tom (empty) och rad fyra utförs.
På rad fyra används kommandot echo, som alltså skriver något, i vårt fall en rubrik på
nivå ett med textinnehållet ”Hej du okände”. Här skrivs alltså ett fragment HTML ut, men
att för PHP är HTML-koden att betrakta som vilken text som helst. Att det förekom en
HTML-start- och sluttagg i det som skulle skrivas ut påverkade inte PHP-tolken det allra
minsta.
Rad fem är den alternativa förgreningen i koden, som körs om villkoret inte var uppfyllt,
det vill säga om vi angivit en GET-parameter, med rätt namn och ett annat värde än en
nolla.
På rad sex har vi också en echo-sats, som är en förkortad version av tre separata echokommandon. Först skrivs ”<h1>Hej ” ut. Lägg märke till mellanslaget efter bokstaven ”j”,
som skapar lite utrymme mellan ordet ”Hej” och själva namnet.
Nästa echo-kommando skriver ut det namn som användaren uppgivit i URL:en, efter att
det skyddats mot enklare manipulation med funktionen filter_input. Den förvandlar
ihop med flaggan FILTER_SANITIZE_SPECIAL_CHARS tecken som < och > till ofarliga
entiteter.5 Så skulle någon skriva en parameter som innehåller HTML-kod, som i sin tur
kan innehålla (i framtiden farlig) JavaScript, så har vi i vart fall gjort det betydligt svårare
för den personen att få sitt skript att köras.
Det tredje echo-kommandot avslutar sedan HTML-elementet. De tre echo-kommandona
som körts i rad på det här sättet skapar tillsammans en enda sammanhållen sträng av
text.
Det finns ingen avslutande PHP-tagg. Många exempel slutar alltid med den, trots att den
är onödig och dessutom kan ställa till med problem. Slutar ditt skript i PHP-läge, så bör
det inte innehålla någon avslutande PHP-tagg!
4
Se avsnitten HTTP-huvuden, metoder och statuskoder (1.4.9), Unicode (6.5) och Mer om MIME (6.10) i Läroboken
Webbutveckling 1.
5
Se avsnittet Entiteter (6.4) i Läroboken Webbutveckling 1.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
19
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Förtydligande om echo. Detta fragment med PHP-kod:
echo 'foo';
echo 'bar';
Fungerar alltså på samma sätt som detta:
echo 'foo', 'bar';
I båda fallen blir resultatet att foobar skrivs ut i det dokument som sedan skickas till
webbläsaren. Att det finns en nyrad eller ett mellanrum mellan kommandona i PHP-koden
påverkar inte resultatet. Varken mellanrum eller nyrad ingår i det som vi instruerat PHP att
skapa som ett resultat av koden.
Lägg också märke till att vi ännu inte skapat en komplett webbsida! Tittar du på HTMLkoden som skickats till webbläsaren, så ser den ut så här:
20
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1.4
En komplett webbsida med inslag av PHP
Låt oss nu utöka vårt exempel till att bli en hel sida. Skriv följande kod och spara den som
hello2.php. Också här finns det en radbrytning i läroboken, som inte behövs egentligen.
<?php
if (empty($_GET['name'])) {
$name = 'du okände';
} else {
$name = filter_input('INPUT_GET', 'name', 
FILTER_SANITIZE_SPECIAL_CHARS);
}
// Här börjar output
header("Content-type: text/html; charset=utf-8");
?>
<!DOCTYPE html>
<html lang="sv">
<head>
<meta charset="utf-8" />
<title>Hello 2</title>
<style>
body {
font-family: sans-serif;
}
</style>
</head>
<body>
<h1>Hello 2</h1>
<?php
echo "<p>Hej $name</p>\n";
?>
</body>
</html>
© THELIN LÄROMEDEL & LARS GUNTHER 2013
21
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Om du testar detta i din webbläsare, så ska resultatet se ut så här:
I det här exemplet blandar vi PHP-kod med vanlig “rå” HTML. Genom PHP:s start och
sluttaggar, så går tolken in och ut ur PHP-läge. Det är just här som det kan bli grötigt och
svårt att se både säkerhetsproblem och funktionsfel. Därför så börjar vi redan från början
med en grundläggande kodseparation.


Först har vi ett stycke PHP-kod, där det utförs tester, beräkningar och bearbetningar.
Sedan har vi HTML-kod som fungerar som en mall (template). Lägg märke till
växlingen mellan HTML-kod och PHP-kod före den avslutande body-taggen. I den kan
det finnas enkla villkor och loopar, men bara om det krävs för att skapa rätt ”output”
(resultat). Här sker inga beräkningar, inga säkerhetskontroller, ingen kommunikation
med databaser eller andra servrar, o s v.
I framtiden kommer mallar och annan slags kod inte bara ligga i två skilda delar inom samma fil,
utan vara helt skilda filer.
I koden ovan så introduceras en variabel, $name. Variabler i PHP börjar alltid med en s.k. sigil, i
PHP:s fall ett dollartecken. I stället för echo uppe i kontrollen, så sker nu en villkorlig tilldelning
(assignment) av ett värde till variabeln. Variabler lever vidare mellan de olika blocken av PHPkod, så när det nedre blocket stöter på samma variabelnamn, så fungerar det utan problem.
Till ett kommande kapitel:
Variabler behöver varken
deklareras eller instansieras innan de används i PHP.
Det är ingen skillnad i det slutliga resultatet mellan HTML-kod som skapats av echo eller andra
kommandon inuti PHP-blocken och den kod som återfinns mellan dessa block. Följande två
exempel är alltså funktionsmässigt identiska, om än det första är grötigt skrivet.
22
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
<?php
// Exempel ett
if ( $foo ) {
?>
Foo är sant
<?php
}
// Exempel två
if ( $foo ) {
echo 'Foo är sant ';
}
I det första exemplet, så lämnas PHP-läget, men det som skrivs är ändå villkorat av PHP-koden
som kommer först. Det kommer bara ingå i det slutliga resultatet om villkoret uppfylls, d v s om
variabeln $foo tolkas som sann.
Vill du snabbtesta några rader PHP-kod, utan att omge dem med HTML-kod, så kan du
ange följande HTTP-huvud: header("Content-type: text/plain; charset=utf-8");
1.5
Variabler, enkel- och dubbelfnuttar
I exemplet ovan hade vi denna rad PHP-kod:
echo "<p>Hej $name</p>\n";
Här skrivs alltså variabeln inuti en textsträng som omges av dubbelfnuttar (citationstecken). I
det fallet kommer PHP alltså att ersätta variabeln med dess innehåll. Skulle vi däremot använt
enkelfnuttar, så hade PHP skrivit ut den exakta frasen ”<p>Hej $name</p>”.
Textsträngar som omges av dubbelfnuttar tolkas logiskt, medan textsträngar som omges
av enkelfnuttar tolkas slaviskt.
I vårt enkla exempel så föreligger ingen risk för att variabelnamnet feltolkas, men låt säga att vi
har en situation där variabeln följs direkt av en bokstav:
© THELIN LÄROMEDEL & LARS GUNTHER 2013
23
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
// $typ förväntas antingen vara ordet ”start” eller ”slut”
echo "$typmånaden är…";
Här kommer alltså PHP att tolka det som att variabelnamnet är $typmånaden. Detta kan vi
åtgärda genom att använda måsvingar:
echo "{$typ}månaden är…";
Exemplet är kanske något konstruerat, men den här sortens situationer dyker upp ibland. När vi
kommer fram till kapitlet om arrayer så blir det rent utav vanligt. För att slippa strul, så
rekommenderar jag därför att du alltid använder måsvingar när variabler finns i textsträngar
som omges av dubbelfnuttar.
Koda på det sätt som när det används konsekvent ger dig så lite onödiga bekymmer som
möjligt. Var inte lat och spara in på antalet tangentnedtryckningar på tangentbordet. Det
kommer kosta dig betydligt mer onödiga fel och förlorad arbetstid, än vad du vinner i
bekvämlighet i början.
Bakstreck (backslash) har en speciell funktion när den förekommer mellan citationstecken. Den
anger då ett specialtecken. PHP ”lämnar” (escape) sitt normala sätt att tolka tecknen. För
enkelfnuttar gäller följande escape-koder (escape sequences):
'Tim O\'Reilly'
'\\'
 Efterföljande enkelfnutt ingår i strängen
 En backslash, bokstavligen
Omgiven av dubbelfnuttar, så finns det fler escape-koder, som i dessa exempel:
"<p lang=\"en\">"  En backslash, bokstavligen
"</p>\n"
 Nyradstecken (snyggare HTML-kod)
"\$foo"
 $foo är inte en variabel, bokstavligt dollartecken
24
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1.6
Några korta anmärkningar om PHP som språk (syntax och
kompilering)
PHP är ett programmeringsspråk som tillhör C-familjen, där finns också Java, (delvis) JavaScript
och en mängd andra språk, utöver just C och C++. Har du programmerat i något av dessa så
kommer du känna igen många saker:




Språket är uppbyggt genom satser (statements), vilka avskiljs med semikolon. Glöm inte
semikolonen! (Om jag fått en krona varje gång en elev glömt ett semikolon, så vore jag
en rik man idag.)
Ett antal satser kan grupperas till ett block och dessa avskiljs genom måsvingar, ungefär
som deklarationsblocken i CSS. Indrag av alla satser i ett block är frivilligt rent tekniskt,
men obligatoriskt ur varje annan synvinkel. Återigen, var inte lat. Utan indrag blir det
ytterst svårt att läsa din kod. Obalanserade måsvingar är det näst vanligaste
nybörjarfelet, efter glömda semikolon.
Alla språken i C-familjen har samma grundläggande styrstrukturer (if-else, while, dowhile, etc.)
Kommentarer kan börja med två ”framåtslashar”(//) och gäller då resten av raden, eller
så kan de omges av /* och */, som i CSS. (PHP kan också börja sina kommentarer med
tecknet #. Det är ovanligt, utom när PHP används som konsollskript.) En speciell slags
kommentarer är anpassade för PHPDoc – ett automatiskt system att skapa
dokumentation om din PHP-kod. De börjar med /** (två stjärnor) och slutar med */.
Exempel kommer i nästa kapitel.
Som lärare har jag ibland vägrat hjälpa elever innan de fixat sina indrag, eftersom det tar
på tok för låg tid för mig som hjälpare att sätta mig in i programmets struktur utan dessa.
Det har då många gånger hänt att eleven själv hittat felet under tiden hon eller han fixat
till sina indrag…
Till skillnad från de andra nämnda språken, så måste variabler i PHP som sagt börja med ett
dollartecken. Till skillnad från Java, C och C++, och i likhet med JavaScript, så behöver variabler
inte deklareras i PHP.
PHP behöver inte kompileras, utan det är ett tolkat (interpreterat) språk. C och C++ kompileras
normalt till maskinkod (exekverbara filer) och Javakod kompileras manuellt till bytekod, men för
PHP sker motsvarande optimering automatiskt. Den dag du jobbar på webbplatser som får
hundratals träffar i minuten, så kan du behöva lära dig hur man kan undvika ständig omtolkning
av koden, men till dess behöver du bara veta att manuell kompilering är onödigt, med PHP.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
25
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
1.7
OK, hur lär jag mig detta?
Utöver att läsa den här boken, se dess videos och göra dess övningar? Glad att u frågade,
eftersom boken absolut inte kommer att kunna täcka allt. Då skulle den bli väldigt tråkig att läsa.
Och återigen, det finns ingen anledning att skriva om PHP:s manual. Den finns redan och är
ypperlig!
1.7.1 Experimentera mycket
Variera alla exempel du får i den här kursen. Lägg till, dra ifrån, ändra, testa och fråga!
1.7.2 Bekanta dig med PHP-manualen
Den är din bästa vän som utvecklare. Också erfarna PHP-programmerare har manualen framme
när de jobbar. Det finns enorma mängder funktioner i PHP. Ingen kan alla.
http://www.php.net/manual/en/index.php
Till det här kapitlet passar avsnitten Getting Started (http://www.php.net/manual/en/gettingstarted.php) och Basic Syntax (http://www.php.net/manual/en/language.basic-syntax.php).
1.7.3 Använd den världsvida PHP-gemenskapen
Det finns gott om människor som vill hjälpa dig komma igång med PHP och ge dig konstruktiva
tips om hur du kan lösa dina problem, men kom också ihåg att det finns många som vill, men
ännu inte borde, hjälpa andra. Sök efter hjälp på flera ställen. Fråga specifikt efter säkra
lösningar som bygger på best practice.
Lägg till nyckelord som ”secure” och ”best practice” när du söker på webben!
1.7.4 Låt PHP rapportera varenda småfel du gör
PHP är ett oerhört förlåtande språk. Om du missat en liten detalj, så kommer PHP ofta göra en
kvalificerad gissning och så att säga hjälpa dig på traven. Detta är en god sak, då det gör så att
dina PHP-skript räddar dig undan totalt haveri och åtminstone ger användaren ett någorlunda
användbart resultat – ibland! Det kan också leda till totalt oväntade resultat eller slappa
kodvanor!
På din utvecklingsdator ska du därför se till att PHP rapporterar minsta lilla småfel som
upptäcks. Detta kan illustreras med ett skript. Oroa dig inte för de tekniska detaljerna
26
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
<?php
$a = array("foo" => "bar");
error_reporting(E_ERROR);
echo $a["foo"];
echo $a[foo]; // Obs inga fnuttar runt foo på denna rad
echo "<hr />";
error_reporting(E_ALL);
echo $a["foo"];
echo $a[foo]; // Obs inga fnuttar runt foo på denna rad
När skriptet körs, så kommer resultatet bli som på den här bilden:
Vi använder arrayer, något som förklaras längre fram i boken, men det du ska lägga märke till är
att först körs två echo-satser med en ganska förlåtande felrapportering. I det andra fallet så har
vi en strikt felrapportering, som inkluderar notiser. En felnotis är något som kan ha gått snett,
men kanske inte. I det här fallet så dök bokstäverna foo upp. PHP tolkar dem som en konstant,
men någon motsvarande konstant har inte definierats, varför PHP ”låtsas” som om det fanns en
sådan, med samma innehåll som den heter.
I det här fallet är ingen större skada skedd och på en produktionsserver bör därför
felmeddelandet döljas, men som utvecklare vill du veta alla dessa små detaljer.
Efter att du installerat PHP på din dator, så leta öppna filen som heter php.ini. I den hittar du
raden (som inte börjar med semikolon = kommentarer) med direktivet error_reporting. I PHP
5.3 och lägre så ska den ha värdet:
error_reporting = E_ALL | E_STRICT
Lägg märke till att vertikalstrecket(|) ska vara mellan de två värdena. I PHP 5.4 och högre ska
den raden ha värdet:
error_reporting = E_ALL
© THELIN LÄROMEDEL & LARS GUNTHER 2013
27
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Från och med version 5.4 så ingår nämligen E_STRICT i E_ALL.
Fattar du noll? Strunt i det och följ instruktionen ändå. Vi återkommer till felhantering
längre fram i boken.
En annan skillnad mellan utvecklingsmaskiner och produktionsservrar är att på de senare bör
felen loggas, medan de på utvecklingsmaskiner bör visas. I filen php.ini, så bör det finnas en rad
med följande värde:
display_errors = On
Om du gjort några ändringar nu, så starta om webbservern innan du fortsätter.
Saker som kommer finnas i övningsboken
Uppgift: Installera – duh! Inklusive felrapporteringen i 1.7.4
Göra och variera de två skripten
Testa enkel- och dubbelfnutt med variabler
Glöm semikolon och måsvingar med flit. Skriv ner vilket felmeddelande som det blev.
Skriv kommentarer med // och /* */
Svara på några frågor som med hjäp av PHP-manualen online
28
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
2 NÅGRA YTTERLIGARE EXEMPEL
I stället för att börja med en detaljerad teknisk diskussion, så kommer här några exempel.
Tanken är att du ska få en överblick om hur PHP fungerar. Det är därför viktigt att du prövar och
experimenterar med exemplen! Det är viktigare än att du förstår detaljerna.
För att spara plats, så visas inte ett helt HTML-dokument i exemplen, utan bara de delar som
gäller PHP-koden. Strukturen ser ut som följer. Lägg märke till vad som står inom hakparentes,
för detta är vad som kommer att variera mellan exemplen. Spara denna gärna som en mall. (Du
ska inte ha med hakparenteserna när du skriver in egna ord och angiven kod.)
<?php
/**
* [Med en mening förklaras vad denna fil innehåller och gör]
*
* [Med några meningar förklaras det i mer detalj.]
*/
[Kodblock med inställningar och inledande bearbetningar]
header("Content-type: text/html; charset=utf-8");
?>
<!DOCTYPE html>
<html lang="sv">
<head>
<meta charset="utf-8" />
<title>[Varierande sidtitel som du hittar på själv]</title>
<style>
body {
font-family: sans-serif;
/* + tillägg du vill göra för att göra sidan lite snyggare */
}
</style>
</head>
<body>
<h1>[Varierande rubrik som du hittar på själv]</h1>
<?php
[Kodblock med output]
?>
</body>
</html>
© THELIN LÄROMEDEL & LARS GUNTHER 2013
29
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
2.1
Visa datum, månad, tid, etc
PHP kan visa tid på olika sätt, men att få PHP att göra det på svenska begränsar urvalet.
Antingen får man som utvecklare bygga sitt eget system, eller så får man använda funktionen
strftime(). Det är den enda som tar hänsyn till locale, d v s inställningar för format och språk
gällande klockslag och datum, sifferformat (decimalpunkt eller decimalkomma), valuta och
texthantering.
Det övre blocket med PHP-kod:
date_default_timezone_set("Europe/Stockholm");
setlocale(LC_ALL, "sv_SE", "Swedish");
Det nedre blocket med PHP-kod:
echo "<p>" . strftime("%c") . "</p>\n";
Spara, förslagsvis med namnet kap2-tid.php i din servers webbrot och testkör i webbläsaren.
2.1.1 Kommentarer till koden
Med textsträngen %c (litet c), så anges att tid ska skrivas ut med både datum och klockslag enligt
operativsystemets standardformat, vilket varierar mellan olika system. Funktionen strftime()
tar en mängd olika alternativ. Här kommer några alternativ att testa. (Gör det!)
echo "<p>" . strftime("%Y-%m-%d") . "</p>\n";
echo "<p>" . strftime("%A, %d %B %Y") . "</p>\n";
echo "<p>" . strftime("Klockan %H:%M:%S") . "</p>\n";
// Kortform av förra exemplet, strular på Windows
echo "<p>" . strftime("Klockan %T") . "</p>\n";
echo "<p>" . strftime("Klockan %R") . "</p>\n";
// Nedanstående strular också på Windows
echo "<p>" . strftime("Veckonummer: %V") . "</p>\n";
Hur lär man sig alla dessa kryptiska koder? Svar: Det gör man inte. Man läser manualen! De
finns beskrivna på sidan http://se1.php.net/manual/en/function.strftime.php och där kan du
hitta ännu fler varianter att testa. OBS! Några av dem funkar inte alls på Windows!
Testa också att byta locale eller att byta tidszon. Här kommer ett exempel:
date_default_timezone_set("America/Los_Angeles");
setlocale(LC_ALL, "en_US", "English");
30
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Om du sitter på en Windowsmaskin och vill jämföra med hur det blir på Linux, så gå till
exempelvis http://sandbox.onlinephpfunctions.com/ och testa din kod där.
2.1.2 Fördjupning om locale och tidszon
(Du kan hoppa över den här förklaringen tills vidare och återkomma till den när du lärt dig lite
mer om PHP och funktioner i kapitel 9.)
Funktionen för att ställa in locale behöver minst två argument, först en konstant som talar om
vilka inställningar som ska styras, LC_ALL, i vårt exempel ovan betyder ”alla”. Sedan följer en
eller flera strängar, som PHP-funktionen prövar i tur och ordning, tills den hittat en som
fungerar. Vanligtvis behövs det en för PHP som körs på Linux och andra Unix-liknande
operativsystem, inklusive Mac OS X, och en för Windows. Funktionen returnerar det alternativ
som använts. Själv använder jag ofta följande kodsnutt, som jag inkluderar (se kapitel 4) för alla
skript:
$CURLOCALE = setlocale(LC_ALL, 'sv_SE', 'sv_SE.UTF8', 'swedish', 'sve');
if ( ! strlen($CURLOCALE) ) {
user_error('Locale inte inställd!', E_USER_WARNING);
}
På ett motsvarande sätt kan jag kontrollera att inställningen av tidszon lyckades:
$TZ_SET = date_default_timezone_set('Europe/Stockholm');
if ( !$TZ_SET ) {
user_error('Tidszon inte inställd!', E_USER_WARNING);
}
2.2
Ett slumpmässigt valt citat
Övre kodblocket:
// Citat av Rasmus Lerdorf, som uppfann PHP från början
// http://en.wikiquote.org/wiki/Rasmus_Lerdorf
$alla_citat = array(
"I did not develop the PHP we know today. Dozens, if not hundreds of
people, developed PHP. I was simply the first developer.",
"I actually hate programming, but I love solving problems.",
"I've never thought of PHP as more than a simple tool to solve
problems.",
© THELIN LÄROMEDEL & LARS GUNTHER 2013
31
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
"For all the folks getting excited about my quotes. Here is another
- Yes, I am a terrible coder, but I am probably still better than
you :)"
);
$random_key = array_rand($alla_citat);
$citat
= $alla_citat[$random_key];
Nedre kodblocket:
echo "<p lang=\"en\">{$citat}</p>\n";
Spara, förslagsvis som kap2-citat.php och provkör i webbläsaren. Ladda om sidan flera gånger
när du testar koden!
2.2.1 Kommentarer till koden
Först definierar vi en array, som jag brukar jämföra med en byrå med lådor. En enkel variabel
kan innehålla ett tal, en textsträng eller ett booleskt värde (sant/falskt) och har ett namn. Om
en sådan variabel är som en enkel låda, med en etikett på, så är etiketten variabelnamnet och
lådans innehåll dess värde. En array är alltså som en byrå som innehåller flera sådana lådor. I
vårt fall så är det en lista med textsträngar (citaten), som skrivs inom fnuttar och skiljs åt med
kommatecken. Varje ”låda” kommer få ett nummer från noll och uppåt, det är dess nyckel (key).
Vi väljer ut en slumpmässig arraynyckel och lagrar den i en variabel.
Vi kopierar värdet som motsvarar denna nyckel till en enkel variabel.
Och i det nedre kodblocket, så skriver vi ut citatet.
2.3
Räkna antalet tecken i ett namn och skriv det baklänges
Låt oss ta ett lite större exempel. Kom ihåg att det ännu inte är meningen att du ska begripa
varje detalj, utan att det handlar om att få en övergripande idé om hur PHP fungerar. I det här
exemplet ska vi be användaren skicka sitt namn via ett formulär, och sedan räkna antalet tecken
i namnet, och skriva ut det framlänges, dess teckentantal och baklänges.
För att kunna göra detta, så behöver vi trixa lite med några funktioner, så att teckenkodningen
blir rätt. Att vända på en text vore enkelt om vi kunde veta att texten som skickats bara innehöll
tecken från det engelska alfabetet, eftersom det finns en funktion som kan vända på sådana
strängar. (Den heter strrev() – läs det som ”string reverse” – men den kan vi alltså inte
använda.)
32
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
PHP skapades innan UTF-8 hade slagit igenom som teckenkodning på webben och därför
är de vanliga funktionerna för textsträngar i PHP anpassade för Win-1252/ISO-8859-1.
Vi börjar emellertid med formuläret. Nedre HTML-koden ser nu ut så här:
<body>
<h1>Avsnitt 2.3: Namntest</h1>
<form action="<?php echo $_SERVER['PHP_SELF']; ?>" method="post">
<p>
<label for="name">Vad heter du?</label>
<input type="text" name="name" id="name"
placeholder="ex. Åke Svensson" />
</p>
<p>
<input type="submit" value="Testa namnet" />
</p>
</form>
<?php
// Kod kommer senare
?>
</body>
Spara, exempelvis som kap2-namn-test.php och testa i webbläsaren. Tittar du på HTML-koden
som skapats (CTRL+U), så ska den se ut så ut så här för formulärets starttagg:
<form action="/kap2-namn-test.php" method="post">
Namnet på skriptet som körs finns alltså i $_SERVER['PHP_SELF']. Men ännu händer inget när
formuläret skickas. Låt oss därför gå till det övre kodblocket.
I koden nedan finns det flera mycket krångliga koder. Stirra inte på dem. Det väsentliga är
följande:



Variabeln $submitted_name innehåller det som användaren skickat I formuläret, med
en viss grundsäkring mot hemska tecken som NULL och liknande. Vi tar också bort
onödiga whitespace-tecken i början och slutet, som – om de finns – troligen skrivits dit
av misstag.
Variabeln $output_name är samma data, fast säkrat för att skrivas på en webbsida, så att
ingen kodinjektion kan ske.
Variabeln $charcount är antalet tecken i namet. Vi kan räkna dem med en inbyggd
funktion i PHP, mb_strlen(), som använder UTF-8, eftersom vi allra först ställer in det
som standard för alla funktioner som heter något på mb_.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
33
WEBBSERVERPROGRAMMERING 1 - LÄROBOK


Variabeln $name_reversed skapas med hjälp av den funktion som definieras i början.
Den säkras för output på samma sätt som $output_name.
$namedata håller reda på om något resultat ska visas eller inte.
Det är med hjälp av dessa variabler som vi kan kommunicera med mallen (som vi ännu inte
skapat). Det viktiga är nu att du förstår hur data flyter igenom applikationen, inte hur varje
enskilt kommado funkar.
Eftersom det nu förekommer så många krångliga benämningar, så föreslår jag att du skriver en
rad i taget och kontrollkör den, genom att skicka data i formuläret. Även om det inte finns någon
output än ifrån PHP-koden, så ska det inte heller finnas några felmeddelanden. Kom ihåg att
alltid balansera dina måsvingar.
// Sätt standardvärde (default) för alla mb-funktioner
mb_internal_encoding("UTF-8");
/**
* En utf8-funktion som vänder på en textsträng
*
* Denna funktion liknar PHP:s inbyggda strrev(), men förutsätter
* att teckenkodningen är UTF-8 och inte Win-1252/ISO-8859-1
* @param string $str En UTF-8 kodad sträng
* @return string Strängen i omvänd ordning
*/
function utf8_strrev($str) {
// Namnet baklänges – se detta som svart magi tills vidare!
preg_match_all('/./us', $str, $temp_arr);
return join('', array_reverse($temp_arr[0]));
}
// Hämta data från formuläret
$submitted_name = filter_input(INPUT_POST, 'name', FILTER_UNSAFE_RAW,
FILTER_FLAG_STRIP_LOW);
// En variabel som håller reda på om vi fått något användbart
// Vi börjar med att förutsätta att så inte är fallet
$namedata = false;
if (!empty($submitted_name) ) {
// Ta bort onödig whitespace i början och slutet
$submitted_name = trim($submitted_name);
// Säkra namnet för HTML_output
$output_name = htmlspecialchars($submitted_name, ENT_QUOTES);
// Antal tecken i namnet
$charcount = mb_strlen($submitted_name);
34
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
// Namnet baklänges - betrakta detta som svart magi tills vidare!
$name_reversed = utf8_strrev($submitted_name);
// Säkra för HTML-output
$name_reversed = htmlspecialchars($name_reversed, ENT_QUOTES);
$namedata = true;
}
Med dessa variabler nu definierade, så kan vi skapa vår mall. Efter formuläret och före den
avslutande </body>-taggen, så skriver vi in följande kod:
<?php
if ( $namedata ) {
echo <<<DATA
<dl>
<dt>Namn</dt>
<dd>{$output_name}</dd>
<dt>Antal tecken (inklusive ev. mellanslag i mitten)</dt>
<dd>{$charcount}</dd>
<dt>Namnet baklänges</dt>
<dd>{$name_reversed}</dd>
</dl>
DATA;
}
?>
Här sker en villkorlig utskrift, som definieras med s.k. heredoc-syntax. När man har långa
textsträngar, så är denna att föredra framför fnuttar. Heredoc-blocken börjar med <<< plus ett
namn och avslutas med namnet.
Det avslutande namnet i heredoc måste stå allra först på en egen rad och får inte följas av
något annat än ett semikolon. Inga indrag, inga efterföljande kommentarer, inte ens ett
mellanslag få finnas på samma rad!
Nu är vi klara. Spara och testkör. Skicka fantasifulla förslag i formuläret och försök injicera olika
slags HTML-kod, framlänges och baklänges!
© THELIN LÄROMEDEL & LARS GUNTHER 2013
35
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
3 PHP:S HISTORIA, VERSIONER, STYRKOR OCH
SVAGHETER
3.1
PHP:s historia
Rasmus L
Zend
3.2
Vem använder PHP
PHP är inte längre den coola nykomlingen som alla pratar om. PHP är numera etablerat, ja rent
av ett ganska tråkigt ”medelålders” programmeringsspråk. Det var längesedan någon upptäckte
PHP och fick en känsla av ”wow”. Det innebär att det inte längre skrivs och bloggas på samma
sätt som i början av 2000-talet om språket. Men det innebär inte att det är på tillbakagång.
Tvärtom så används PHP av ca 75 % av alla webbapplikationer och den siffran har ökat med ca
10 % under 2010-talet. Till användarna av PHP hör:





3.3
Facebook – världens enskilt största webbapplikation är i grunden skriven med PHP, även
om många tilläggstekniker också behövs.
Wordpress – världens vanligaste bloggplattform är skriven i PHP.
MediaWiki som används av Wikipedia och flera andra wikis är skriven i PHP.
Några av världens allra mest populära CMS:er är skrivna i PHP. Dit hör Drupal och
Joomla.
Några av världens mest populära system för diskussionsforum, som phpBB och Phorum.
Versionshistorik
Varför det finns ett behov av att hålla reda på versioner. Exempel:





PDO, inte stabilt före 5.2
Exempel med mysql-syntaxen? Tecken på att det är en gammal resurs!
const som komplement till define() i PHP 5.3
nowdoc i PHP 5.3
filter-funktionerna i PHP 5.2 – extra OBS för dessa. Sluta använd de superglobala
arrayerna
Inget ifrån PHP 5.4 eller senare kommer beröras i den här boken, vars effektiva miniminivå är
5.3
36
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Du kan inte räkna med att alla webbhotell har senaste versionen av PHP installerad. I början på
sommaren 2013, så fördelar sig olika versioner av PHP så här:6
En av fördelarna med att hålla sin installation är att nyare versioner av PHP har bättre
prestanda. Tiden som det tar att köra några benchmarks illustreras av detta diagram:7
6
Denna bild är lånad med tillstånd från Lorna Jane Mitchell, http://www.lornajane.net/posts/2013/php-versionadoption
7
Också denna bild är lånad med tillstånd från Lorna Jane Mitchell, http://www.lornajane.net/posts/2013/phpversion-adoption. Gå till hennes sida för mer utförliga förklaringar.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
37
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Skulle vi lägga in PHP 5.0 och 5.1 också, så skulle trenden bli ännu tydligare. Men framför allt så
är det bara de senaste versionerna av PHP som underhålls med säkerhetsuppdateringar. Att
köra en föråldrad version är alltså direkt riskabelt!
För PHP så gäller att utvecklingsversionen får alla nya funktioner och den stabila versionen får
enklare nya funktioner, medan versionen innan underhålls enbart för säkerhet och stabilitet. Av
säkerhetsskäl är det också viktigt att uppgradering sker till den senaste underversionen med
jämna mellanrum.
3.4
Hur bra är PHP?
PHP:s dåliga rykte




Växer med behoven, inte efter en plan = somligt kunde gjorts annorlunda, mer stilrent
och elegant. PHP är ett ”fult” språk, men det har vad du behöver.
Säkerheten – men är det språkets fel?
Den vildvuxna communityn – jämför med Ruby som har ett enda dominerande
framework (rails).
Inte längre den ”Hippa Nykomlingen”
UTF-8 är inte ”native” – bläh!
PHP:s styrkor



Manualen
Communityn
Tillgängligheten – alla webbhotell stödjer PHP
Inte rätt för alla, inte rätt för allt.
38
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
4 ATT ANVÄNDA PHP SOM ETT MALLSYSTEM
4.1
Samma sida, men olika innehåll
En mer genomarbetad praktisk övning
En sida med tre alternativa innehåll, beroende på en GET-parameter. (Emulering av
databasdrivet innehåll.)
4.2
Återanvändning av kod mellan olika sidor
Att inkludera delar av sidan som används på mer än en sida
include()
include_once()
require()
require_once()
© THELIN LÄROMEDEL & LARS GUNTHER 2013
39
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
5 PHP SOM PROGRAMMERINGSSPRÅK
Mål: Att kunna använda manualen, inte att skriva av den
OBS! Den som lärt sig delar av manualen har ”fått en (eller några) fisk(-ar)”, men den som lärt
sig använda manualen ”har fått ett metspö”
Det här kapitlet är som att lära sig det periodiska systemet i kemin, inte så kul i sig, men kan du
det, så är det lättare att skapa något som puttrar och smäller!
5.1
Kommentarer sparar tid
Det tar lite tid att skriva kommentarer, det tar massor av tid att inte ha kommentarer skrivna
Att provisoriskt ”kommentera bort” ett kodblock
PhpDoc
5.2
Värdetyper
Dynamiska typsystem kontra statiska
PHP:s typer
PHP-manualens extratyper
5.3
Variablers namngivning och räckvidd (scope)
Tekniska krav på variabler (vad de kan heta) och användarkrav (vad de bör heta)
Använd bara tecken som finns på det engelska tangentbordet, så kan du be om hjälp också
utomlands!
Skilj på GLOBALA, långlivade och kortlivade variabler
5.4
Tilldelning
By value
By reference
5.5
Några operatorer
5.5.1 Matematiska operatorer
Enkla
40
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Pre- och post-inkrement
5.5.2 Strängoperatorer
OBS! Konkatenering med punkt
5.6
Jämförelser, sant och falskt
Enkla jämförelser av skalära värden
== kontra ===
”Truthy” and ”falsy”
Fördjupning: Skillnader i typkonvertering mellan PHP och JavaScript (Summa: == inte lika farligt
som JS, där man alltid bör ha == utom vid jämförelse med null)
5.7
PHPCodeSniffer
© THELIN LÄROMEDEL & LARS GUNTHER 2013
41
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
6 SÄKERHETSTÄNK
6.1
Problemkällor
Klantiga användare – hjälp dem!
Black hat hackers – försvåra för dem!
Botar – skilj ut dem utan att försämra mer än nödvändigt för människor.
6.2



Principer
Försvar på djupet, inte skalförsvar
”Security through obscurity” har (faktiskt) ett begränsat värde
Regelbunden backup
6.3
Filter input – escape output
6.4
Fulkod döljer säkerhetshål – och är svårare att underhålla
6.5
Lägg allt utom det användaren ska anropa utanför webbroten
42
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
7 STRÄNGAR
HTML, CSS, SVG – det är text!
7.1
UTF-8 kräver mb-funktionerna
Detta fattar sällan amerikanerna, så läs deras tips med vaksamt öga!
Några enkla exempel
Att läsa manualen om dessa funktioner
7.2
Verifikation av välformad UTF-8
”Strip low” – ta bort kontrolltecken, speciellt NULL-tecknet.
7.3
Ta bort HTML eller ”eskejpa” den
© THELIN LÄROMEDEL & LARS GUNTHER 2013
43
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
8 ARRAYER
8.1
”Min array är inte lik din array”
Min array är associativ och används hela tiden
Vad är en array i PHP
8.2
Definiera arrayer, lägg till, ändra och ta bort värden
Nyckelordet array() – inte en function!
Array shorthand, som i JavaScript i PHP 5.4. Tips! Men används inte i boken.
By reference mellan array-medlem och enkel variabel
8.3
Använda arrayvärden i textsträngar
Behovet av måsvingar
Om man glömmer fnuttarna?
8.4
Loopa genom arrayer med foreach
PHP:s kanske mest flitigt återkommande struktur
8.4.1 Foreachloopar med tilldelning ”by reference”
Ett tips – stryks om boken blir för lång…
8.5
Array-liknande strukturer
Databasresultat
Objekt med ”iterator” som interface – nämns men förklaras inte i detalj.
44
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
9 FUNKTIONER I PHP
Duplicera aldrig kod! Så fort något ska göras mer än en gång, så skriv en funktion.
9.1
En funktions funktion
Namn
Parametrar
Standardvärden för parametrar
Returvärde
Scope
9.2
Sök i manualen, din funktion finns nog redan där!
9.3
Hellre returnera än skriva
Och pilla inte på de globala variablerna. Skicka dem som parametrar i stället.
Om du måste, använd $GLOBALS hellre än kodordet global – varje gång!
9.4
Dokumentera dina funktioner
9.5
Håll alla definitioner för sig och inkludera dem
© THELIN LÄROMEDEL & LARS GUNTHER 2013
45
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
10
OBJEKT I PHP
Med PHP kan du programmera OO fullt ut, men vi ska bara titta på de enklaste grunderna
PHP:s arrayer är så kraftfulla att de ersätter objekt vid många tillfällen där andra språk skulle
använt dem
10.1 Vad är ett objekt
Har egenskaper och metoder
StdClass
10.2 Klasser – objekt av en viss typ
Definiera en klass
Metoder och $this
Objektens egenskaper och deras synlighet
Konstanter
Konstruktorer
10.3 Statiska metoder
Lite kort för att känna igen PAAMAYIM NEKDOTAYIM
Ev. statiska metoder och konstanter som en enkel namnrymd
10.4 OO syntax i PHP kontra andra språk
Punkttecknet är konkateneringsoperator i PHP
JS foo.bar blir $foo->bar i PHP.
46
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
11
DATABASER OCH DATALAGRING
11.1 Alternativ
Orientering om




Lagring i filer
Relationsdatabaser
No-SQL
Lagring på klienten
11.2 MySQL och MariaDB
Monty och Oracle…
11.3 Databaser och databashanterare (DBMS)
RDBMS
11.4 Tabeller, fält, index, poster, relationer
11.5 PhpMyAdmin
Skapa en databas
Skapa en tabell för läxhjälpens blogg
© THELIN LÄROMEDEL & LARS GUNTHER 2013
47
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Lägg in några poster
INSERT INTO `laxhjalpen`.`articles` (`articlesID`, `slug`, `title`, `text`,
`username`, `pubdate`) VALUES (NULL, 'test1', 'Första testartikeln', 'Lorem
ipsum dolor sit amet...', 'mia', NOW())
Se till att du har värden med åäö någonstans med för att inte bli tagen på sängen längre
fram när detta strular!
Skapa en tabell för läxhjälpens bloggkommentarer
48
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Lägg in några poster
Skapa en tabell för läxhjälpens användare
Lägg in några poster
11.6 PHP och databasen
PHP-applikationerna behöver kunna ansluta till databasen. I förhållande till databashanteraren,
så är PHP en klient, som behöver autentiseras och ges precis lagom mycket privilegier.
Skapa en separat användare åt dina PHP-skript med hjälp av PhpMyAdmin och ge den
användaren minsta användbara mängd privilegier.
OBS!
Bra för lärare att alternativet finns!
© THELIN LÄROMEDEL & LARS GUNTHER 2013
49
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
Bara detta:
50
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
12 ATT ANSLUTA TILL EN DATABAS OCH HÄMTA
VÄRDEN
12.1 Välj ett modernt gränssnitt!
Dags att ansluta ifrån vår egen PHP-kod. För att ansluta till en MySQL/MariaDB-server, så finns
det tre gränssnitt att välja mellan:



mysql-gränssnittet, som enbart är procedurellt och helt föråldrat. Detta behålls av PHPför att stödja gamla applikationer. Ska absolut inte användas för nyskriven kod!
Mysqli-gränssittet, där bokstaven i står för ”improved”. Ett bra alternativ som kom med
PHP 5.0 och kan användas både procedurellt och objektorienterat.
PDO-gränssnittet kom med PHP 5.1, men blev moget först med PHP 5.2. Det mest
väldesignade gränssnittet och dessutom inte bundet till en enskild RDBMS. PDO kan
alltså användas med Oracle, MS SQL, PostgreSQL, o s v, såväl som med MySQL/MariaDB.
Det finns några avancerade funktioner i MySQL/MariaDB som man inte kan komma åt via PDO,
utan bara med mysqli-gränssnittet, men vanligtvis så är PDO det bästa alternativet.
12.1.1 Databasabstraktion
När PDO kom år 2005, så var det mycket tal om ”databasabstraktion”. Med det avsågs att PHPapplikationer borde skrivas på ett sådant sätt att man ska kunna byta mellan olika RDBMS utan
att behöva röra på sin PHP-kod. Med abstraktion så menas att det finns ett slags ”mellanlager”
mellan den vanliga PHP-koden och databasen och detta mellanlager hanterar skillnaderna
mellan olika RDBMS. I praktiken är detta sällan ett stort problem för enklare PHP-applikationer,
men det kan efterfrågas bland utvecklare på enterprise-nivå, d v s de som skriver avancerade
applikationer för stora företag och organisationer.
Det finns tre nivåer av abstraktion:
1. Data-access-abstraktion. Detta får vi genom PDO och det innebär att gränssnittet i PHP
är oförändrat, oavsett RDBMS.
2. SQL-abstraktion. Detta innebär att skillnader i SQL-dialekt mellan olika RDBMS tas om
hand av abstraktionslagret. Detta ingår inte i PDO.
3. Datatypsabstraktion. Detta innebär att skillnaderna mellan hur olika RDBMS lagrar data
i själva databasen tas om hand av abstraktionslagret. Ingår inte i PDO.
För de enkla applikationer som vi ska bygga på nybörjarnivå, så är de två sista nivåerna total
overkill. Och för mer avancerade applikationer innebär de ofta att man tvingas avstå prestanda
och funktionalitet. Av dessa skäl är total databasabstraktion något tämligen sällsynt.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
51
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
12.2 Ett enkelt exempel
Vi ansluter till databasen med PDO genom att instansiera ett nytt PDO-objekt och göra
grundläggande inställningar för förbindelsen. Vi gör ett enkelt test. Det övre kodblocket:
<?php
header("Content-type: text/plain; charset=utf-8");
$dbh = new PDO('mysql:host=localhost;dbname=laxhjalpen', 'phpuser',
'[pw]');
if ( ! $dbh ) {
echo "Kontakt ej etablerad";
exit;
}
echo "Kontakt etablerad. Hurra!";
Du skriver självklart det lösenord du själv valt i stället för [pw]. Spara detta som anslut-test.php
och testkör tills det fungerar. Då har vi kommit en liten bit på vägen, men koden är långt ifrån
bra.
Vad är det för fel på den koden?
1. Användarnamn och lösenord är hårdkodade i PHP-koden direkt. Det är krångligt när
man ska göra anslutningar på flera ställen och direkt förkastligt ur säkerhetssynpunkt.
2. Vi hanterar inte möjligheten till att något går snett. Om kontakt inte kan etableras, så
kastar PDO ett s.k. undantag (exception) som måste hanteras. Annars avbryts
exekveringen tvärt. Detta är OK under tiden vi utvecklar, men så får det inte vara när
systemet tas i drift. Då ska användaren få ett snyggt felmeddeande och de ansvariga
meddelas omedelbart.
3. Koden gör (ännu) inre de grundläggande inställningarna som behövs för att vår
applikation ska fungera på bästa sätt.
Längre fram ska vi skapa en återanvändningsbar funktion som tar itu med alla de problemen,
men tills vidare vill vi främst testa grunderna, så vi fortsätter:
52
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
// Förbered en SQL-fråga att ställa till databasen
$sql = "SELECT * FROM articles ORDER BY pubdate DESC";
$stmt = $dbh->prepare($sql);
// Utför frågan
$stmt->execute();
// Loopa igenom resultatet och dumpa varje rad
while ( $article = $stmt->fetch()) {
var_dump($article);
}
While-loopen kommer snurra så länge som det finns artiklar att hämta. Varje rad i databasen
blir arrayen $article. Resultatet är inte snyggt, men det är heller inte avsikten. Vi fokuserar på
att få förbindelsen med databasen att fungera, och än så länge strular å, ä och ö. Vi kan fixa det
genom att ändra på raden som instansierade PDO-obejektet. Det som läggs till är kursivt.
$dbh = new PDO(
'mysql:host=localhost;dbname=laxhjalpen; charset=utf8',
'phpuser', '[pw]'
);
Med tillägget ; charset=utf8 direkt efter namnet på databasen, så kommer å, ä och ö att
fungera korrekt.
MySQL/MariaDB använder inga bindestreck när teckenkodning anges. Det annan kod
kallar UTF-8 eller utf-8, kallar MySQL/MariaDB för utf8.
12.3 En komplett funktion för att ansluta (en aning ”kokbok”)
För att undvika kodduplicering och minimera säkerhetsproblem, så skapar vi nu två filer:
settings.php och global.inc.php. Filerna ska inte ligga i webbroten, utan – som vi såg i kapitel 4
– så ska de ligga i en grannkatalog till den.
Den första innehåller användarnamn och lösenord, och den ska ärför inte ingå i det som
du versionshanterar och lägger upp på GitHub. Lägg till filnamnet i filen .gitignore. Innan
du checkar in dina ändringar första gången!
I settings.php ska dessa rader finnas:
<?php
define('MYAPP_DB_DBNAME', 'laxhjalpen');
define('MYAPP_DB_USERNAME', 'phpuser');
© THELIN LÄROMEDEL & LARS GUNTHER 2013
53
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
define('MYAPP_DB_PASSWORD', '[pw]');
define('MYAPP_TZ', 'Europe/Stockholm');
I global.inc.php skriver vi vår anslutningsfunktion. (Här blir det lite ”kokbok”, d v s kod att exakt
skriva av utan att det här finns plats att förklara alla detaljer.)
<?php
/**
* Funktion för att ansluta till en databas
*
* Funktionen förutsätter att några konstanter redan har satts:
* MYAPP_DB_DBNAME som är namnet på databasen att ansluta till.
* MYAPP_DB_USERNAME som är det användarnamn PHP använder.
* MYAPP_DB_PASSWORD som är lösenordet.
* MYAPP_TZ som är den tidszon som applikationen ska fungera inom.
* Funktionen kan anropas flera gånger, utan att någon ny uppkoppling
sker.
* Funktionen gör grundläggande inställningar kring UTF-8 och
* svensk tidszon för databasförbindelsen.
*
* OBS! Funktionen saknar ännu vettig felhantering!
*
* @return PDO Databaskopplingen som ett PDO-objekt
*/
function get_dbh()
{
// Uppkopplingen återanvänds
static $dbh;
if ( is_null($dbh) ) {
// Kontroll av "parametrar"
$dsn
= "mysql:host=localhost;dbname=" . MYAPP_DB_DBNAME;
// Lite grundläggande inställningar
$attributes = array(
// Fortsätt kasta exceptions för alla fel
PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
// En specialgrej för MySQL/MariaDB…
PDO::MYSQL_ATTR_USE_BUFFERED_QUERY => true,
// Använd associative arrayer när svar hämtas som standard
PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
);
54
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
try {
$dbh = new PDO($dsn, MYAPP_DB_USERNAME, MYAPP_DB_PASSWORD,
$attributes);
if ( empty($dbh) ) {
throw new Exception(
"PDO kunde inte instansieras, uppkoppling misslyckad.");
}
// Ställ in tidszon för förbindelsen
$ts_sql = "SET time_zone = '" . MYAPP_TZ . "'";
$svar
= $dbh->query($ts_sql);
// Lite inställningar för MySQL under utveckling
// Tolerera INGA fel under utveckling,
// bli generösare för drift.
// OBS! Inget mellanrum mellan kommatecknen på raden nedan!
$mode_sql = "SET SESSION sql_mode = 
'STRICT_ALL_TABLES,NO_ZERO_DATE,NO_ZERO_IN_DATE'";
$svar
= $dbh->query($mode_sql);
}
catch(Exception $e) {
// Som sagt: Felhanteringen är inte klar.
echo "<pre>";
var_dump($e);
echo "<hr />";
var_dump($dbh);
echo "<hr />";
exit;
}
}
return $dbh;
}
Nu kan vi testa denna funktion, genom at skapa filen anslut-require-test.php som ska ligga i
webbroten. Dess innehåll är fortfarande ofullkomligt, men syftet är främst att testa funktionen
ovan.
© THELIN LÄROMEDEL & LARS GUNTHER 2013
55
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
<?php
header("Content-type: text/plain; charset=utf-8");
require("../includes/settings.php");
require("../includes/global.inc.php");
$dbh = get_dbh();
$sql = "SELECT * FROM articles ORDER BY pubdate DESC";
$stmt = $dbh->prepare($sql);
$stmt->execute();
while ( $article = $stmt->fetch()) {
var_dump($article);
}
Först ska du få detta att fungera utan felstavningar och missade måsvingar, etc. När du får ett
resultat, så lägg märke till att $stmt->fetch() beter sig lite annorlunda nu. Det förklaras strax.
12.4 Prepared statements
När vi har ett PDO-obekt, så finns det flera metoder som vi kan använda. Den enklaste är
$dbh->query($sql), om objektet heter $dbh och $sql är en SQL-fråga. Vi använde denna för
att utföra enklare inställningar för uppkopplingen, men i övrigt bör den ersättas av en
tvåstegslösning:
$stmt = $dbh->query($sql);
// Gör exakt samma sak som
$stmt = $dbh->prepare($sql);
$stmt->execute();
Så varför är den andra versionen bättre?
1. Den låter oss återanvända samma fråga flera gånger utan att tappa prestanda, vi kan
med andra ord förbereda frågan en gång, men utföra den flera gånger. Därav namnet
prepared statements och traditionen att kalla dessa objekt $stmt.
2. Men framförallt, så tillåter den oss att använda säkra platshållare (placeholders), där vi
kan stoppa in data som är osäker och kan ge upphov till SQL-injektioner. Enklast görs
detta med metoden $stmt->bindParam().
56
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
PDO är ett slags objekt, PDOStatement ett annan slags objekt. De hör ihop, men ska inte
förväxlas. Både $dbh->query() och $dbh->prepare() returnerar alltså ett PDOStatementobjekt. Ett normalt programflöde ser då ut så här:
PDO
prepare()
PDOStatement
bindParam()
execute()
fetch()
Svarsrad från en
eller flera tabeller
Sedan ett statement utförts, så kan vi alltså hämta hämta en rad i taget med metoden fetch().
Om vi inte gjort några ändringar i standardinställningarna, så returnerar fetch() en array som
är både associativ och sifferindexerad. Det är normalt sett onödigt och en aning besvärligt.
I vår funktion ovan, så ställde vi in PDO så att endast en associativ array returneras som
standard. Vill man göra ett lokalt undantag, så finns det flera olika alternativ att välja mellan. Jag
listar några:
$stmt->fetch(PDP::FETCH_ROW)
 Endast en sifferindexerad array returneras.
$stmt->fetch(PDP::FETCH_ASSOC)
 Endast en associativ array returneras.
$stmt->fetch(PDP::FETCH_BOTH)
 En kombinerad array returneras.
$stmt->fetch(PDP::FETCH_BOUND)
 Används ihop med fördefinierade variabler.
$stmt->fetch(PDP::FETCH_OBJ)  Ett objekt utan någon definierad klass returneras.
I den här boken håller jag mig till associativa arrayer.
12.5 Loopa igenom databasresultat
Ett mycket vanligt mönster för PHP-kod är att hämta flera rader ur en databas och sedan loopa
igenom dem. Foruminlägg, artiklar på en webbplats framsida, kommentarer som hör till ett
blogginlägg, Twitteruppdateringar – allt skapas genom loopar! På min facebooksida, så
identifierar jag minst 15 loopar, varav många har underloopar, men samtidigt vet jag att just
Facebook har många tidsbesparande speciallösningar. I vart fall är modellen hämta-loopa något
av det mest grundläggande som finns i webbserverprogrammering.
[Här kommer den färdiga boken ha ett exempel från läxhjälpen, där de senaste blogginläggen
visas på riktigt.]
© THELIN LÄROMEDEL & LARS GUNTHER 2013
57
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
12.6 Anteckningar
Ej klart avsnitt
http://php.net/manual/en/ref.pdo-mysql.connection.php
https://kb.askmonty.org/en/sql_mode/
Datan ifrån databasen är opålitlig!
58
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
13
INLOGGNING OCH LÖSENORDSHANTERING
13.1 Vad ska ett autentiseringssystem kunna?






Verifiera användare-lösenord kombinationen
Skapa nya användare
Verifiera epostadresser
Byta lösenord
Återställa lösenord för dem som glömt det – på ett säkert sätt!
Etc.
Om lösenorden läcker, så ska de ändå inte kunna knäckas (principen om försvar på djupet)
13.2 Bygga eget eller använda befintligt?
Persona
OpenID
Facebook, Google, etc.
13.3 Sessioner
Session hijacking
13.4 Inloggning för läxhjälpens administratörer
© THELIN LÄROMEDEL & LARS GUNTHER 2013
59
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
14
FORMULÄR OCH PHP
14.1 Ett första exempel
Som också stoppar botar utan captcha
Högprioriterade mål får sina specialskrivna botar och behöver andra system
14.2 Get och post
14.3 Läs med filter-funktionerna
Inte de superglobala arrayerna!
14.3.1 Historik över hur PHP hämtat formulärdata




Autoglobala variabler
$HTTP_POST_VARS (inte superglobal – borttagen)
Superglobala arrayer (använd dem som vore de ”read only”!)
Filter-extension
14.4 Sätt inte användaren på pottkanten
Ge vettiga felmeddelanden. Ur användarens synvinkel, inte systemets.
För en dialog med din interaktionsdesigner.
Skicka tillbaka också defekt formulärdata, så att användaren slipper upprepa sig.
Genom att ”posta till sig själv”
14.5 Hantera framgången rätt
Ge vettiga framgångsmeddelanden
Och tömma formuläret om det visas på nytt
Undvik möjligheten att dubbelposta
60
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
15
FRÅN FORMULÄR TILL DATABAS
15.1 Lägga in nya poster
15.1.1 Magic quotes helvetet
if ( get_magic_quotes_runtime() ) {
// Default exception handler gets to catch this one
throw new Exception('Magic quotes runtime are on. Application
requires them to be off.');
// Alla applikationer som använder databasen får själva hantera
magic_quotes_gpc
}
15.2 Ändra befintliga poster
15.3 Radera poster
© THELIN LÄROMEDEL & LARS GUNTHER 2013
61
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
16
SKICKA MEJL MED PHP
16.1 SMTP och SMTP-injektion
16.2 Ett exempel
Tipsa bloggaren om att en kommentar skrivits på läxhjälpen
(Egen uppgift slutuppgift: Tipsa den som kommenterat att svar skrivits, men bara om
mejladressen bekräftats)
16.2.1 Kontaktformulär för Läxhjälpen
62
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
17
ATT HA KUL MED PHP
17.1 Snygga URL:er
Med mod_rewrite
17.2 Skapa annat än HTML-kod
GD-biblioteket
17.3 Ajax
17.4 Webbtjänster – att kommunicera med andra servrar
17.5 Att skriva PHP-moduler för befintliga applikationer
Ex. Wordpress
17.6 Att använda ramverk och klassbibliotek
17.7 Internationalisering och lokalisering
+
Mer DB: Transaktioner, ACID, stored procedures, triggers… (inte gå igenom, bara tipsa om)
© THELIN LÄROMEDEL & LARS GUNTHER 2013
63
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
18
INFRASTRUKTUR FÖR UTVECKLING
18.1 En ”riktig” IDE
Debug
18.2 Utvecklingsmaskin, staging server, produktionsserver
Virtuella servrar
Skapa alias för localhost i din hosts-fil.
18.3 Webbhotell
18.4 Projekthantering och dokumentation
Github
PhpDoc
64
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
19 CHECKLISTA FÖR SÄKERHET OCH
KODKVALITET
För varje punkt ska du tänka så här: ”Kan jag svara på hur detta gjorts och har jag noga
kontrollerat att detta görs konsekvent och utan undantag?”
19.1 Preliminär kontroll
1. Är koden lättläst, välstrukturerad och skriven enligt en konsekvent kodstandard?
2. Är koden väl kommenterad?
3. Har alla funktioner, klasser, konstanter och variabler namngivits på ett konskekvent och
begripligt sätt?
4. Finns det någon rest kvar av duplicerad kod som inte flyttats till en funktion?
5. Etc
19.2 Kodkvalitet, egen kontroll
När jag tänker på den kod du skrivit, så…
1.
2.
3.
4.
5.
Vet jag hur SQL-injektioner stoppas?
Vet jag hur XSS stoppas?
Vet jag hur SMTP-injektioner stoppas?
Vet jag hur kodinjektion stoppas?
Vet jag hur lösenorden krypterats med bcrypt eller likvärdig teknik? (Vilka skäl har jag att
känna mig trygg om lösenordsdatabasen skulle komma till allmän kännedom?)
6. Vet jag att alla filer har konsekventa och begripliga namn och att de organiserats på ett
säkert och funktionellt sätt?
7. Vet jag att alla fält i databasens tabeller som kan bli underlag för urval eller sortering har
index?
8. Vet jag att cookies som inte ska användas av JavaScript är server side only?
19.3 Automatisk kontroll
1. Har jag kört PhpCodeSniffer?
2. Har jag kört PhpDocumentor?
3. Har jag checkat in min kod i versionshanteringssystemet? (Hela tiden under processens
gång.)
© THELIN LÄROMEDEL & LARS GUNTHER 2013
65
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
19.4 Extern kontroll
1. Har ett antal test-användare använt systemet både med god vilja och så att de försökt
klanta sig med flit?
2. Har någon kunnig på person inom säkerhet testat att utföra olika injektioner eller andra
slags attacker?
3. Har någon annan gått igenom min kod och påtalat eventuella brister?
19.5 Kontroll av webbhotell
1. Mitt webbhotell kör nya versioner av PHP och andra programvaror och uppdaterar dem
snabbt när nya säkerhetspatchar kommer ut?
2. Mitt webbhotell kör alla sina ”shared hosts” som virtuella maskiner eller i chroot-miljö?
3. Mitt webbhotell kör en automatisk backup av mina sidor och min databas med täta och
jämna mellanrum?
4. Denna backup förvaras på en annan maskin än den där min webbplats ligger?
5. Mitt webbhotell har redundanta linor till sitt serverrum?
6. Mitt webbhotell har fungerande rutiner att meddela mig om deras tjänster ligger nere
eller om mitt konto håller på att övertrasseras gällande bandbredd eller datalagring?
Alla webbhotell har inte installerat stödet rätt för tidszoner i MySQL. Om du behöver göra
det själv (på din egen dator), så sök på webben efter frasen ”Populate timezone tables
mysql”.
19.6 SSL
1. All trafik som är känslig går över förbindelser som är krypterade från start till slut?
2. Eventuella växlingar mellan krypterad och okrypterad förbindelse är konskevent, tydlig
och motiverad?
66
© THELIN LÄROMEDEL & LARS GUNTHER 2013
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
20
© THELIN LÄROMEDEL & LARS GUNTHER 2013
67
WEBBSERVERPROGRAMMERING 1 - LÄROBOK
INDEX
68
© THELIN LÄROMEDEL & LARS GUNTHER 2013