Всех приветствую, товарищи! У меня на сайте обычные страницы гененрируются на index.php с помощью PHP: switch($_SERVER["REQUEST_URI"]){ case "/": break; } А для зоны администратора создал отдельный файл administrator.php, в который попадаешь, если есть сессия (вводя логин и пароль). Опытным программистам есть два вопроса, не могли бы помочь: 1 вопрос - можно ли и в файле administrator.php сделать генерацию по PHP: switch($_SERVER["REQUEST_URI"]){ case "/administrator/": break; case "/administrator/remont/": break; } , или как-то подобным образом? 2 вопрос - ниже приведу мой код на index.php и administrator.php - не могли бы подсказать, безопасно ли так (имею ввиду вход в админ. зону) или нужно что-то изменить? index.php: PHP: <?php require_once("config.php"); switch($_SERVER["REQUEST_URI"]){ case "/": $title = ""; $description = ""; $keywords = ""; $content = ""; break; case "/administrator/": session_start(); if (isset($_SESSION['ADMINISTRATOR'])){ header('Location: /administrator.php'); } else { $title = ""; $description = ""; $keywords = ""; $content = "<form action='/administrator.php' method='POST' name='' id=''><input required type='text' name='entLogin' id='entLogin' placeholder='' maxlength='40'><input required type='password' name='passwd' id='passwd' placeholder='' maxlength='40'><input type='submit' value='Войти' name='adminSubmit' id='adminSubmit'></form>"; } break; default: http_response_code(404); $title = ""; $content = "<h1>Ошибка 404</h1><p style='text-align:center;'>Такой страницы не существует</p>"; break; } ?> <!DOCTYPE html> <html> <head></head> <body> <?= $content ?> </body> </html> administrator.php: PHP: <?php session_start(); require_once("config.php"); switch($_SERVER["REQUEST_URI"]){ case "/administrator/": $title = ""; $content = ""; break; case "/administrator/remont/": $title = ""; $content = ""; break; } if (isset($_POST['adminSubmit'])){ if($_POST['entLogin'] == "" && md5($_POST['passwd']) == ""){ $_SESSION['ADMINISTRATOR'] = 1; echo $content; } else { echo "<p style='text-align:center; margin:50px;'>Ошибка входа</p>"; } } elseif (isset($_SESSION['ADMINISTRATOR'])){ echo $content; } else { header('Location: /'); } ?>
Ну сам подобный "роутинг" не сломают. Но на серьёзный сайт это конечно не ставится. Для обучения пойдёт. В принципе, любой роутинг будет проверять $_SERVER["REQUEST_URI"], но не столь примитивным способом
@mkramer, извините, не очень понял. Точнее говоря, совсем не понял. Что значит "роутинг"? То, что я написал на странице administrator.php switch($_SERVER["REQUEST_URI"]) - это у меня не работает, так как вся эта работа выполняется уже в index.php. А написал я его для того, чтобы показать, как бы я хотел сделать (то есть не разделить все страницы зоны администратора на множество файлов, а сделать всё аккуратно на одном файле - administrator.php). Конечно, зону администратора можно сделать и на файле index.php, но я хотел бы администраторскую зону отделить и написать в другом файле. А вход в админ. зону по логину/паролю, создание сессии - это я делаю для достаточно серьёзного сайта, не для обучения - там будут храниться данные клиентов, которые оставляют мне свою технику на ремонт. Не могли бы подсказать, как правильно и безопасно это сделать либо сообщить ссылку, где я мог бы получить такую информацию (желательно написанную для "программистов" моего уровня)?
Роутингом называется определение по REQUEST_URI части программы, которая будет выполняться. Вот этот твой свитч. Не, для серьёзного сайта это не сильно пойдёт В принципе, в PHP два основных подхода - либо под каждую страничку делается свой PHP файл (устаревший, но рабочий подход). С тем уровнем знаний, которые ты показываешь, может и лучше будет, поскольку там всё достаточно просто. Либо единая точка входа (вcе запросы кидают средствами веб-сервера на index.php), которая уже дальше разбирается, какие файлы выполнять. Но опять же, не в одном всё файле лепится, конечно. И не простым свитчем, а что-нибудь поинтереснее. Например, создать массив с ключами - роутами, а значениями - именами файлов, которые будешь включать. Что-то вроде PHP: $routes = ["a" => "a.php", "b" => "b.php"]; // Хорошо бы тоже вынести в отдельный файл // Пропускаем URI через parse_url, чтоб нам гет-параметры не мешались $routePath = parse_url($_SERVER['REQUEST_URI"], PHP_URL_PATH); if ($routes[$routePath] ?? false) { require(__DIR__ . '/pages/' . $routes[$routePath]); } else { require(__DIR__ . '/pages/404.php'); } Ну это так, примерно. А вообще, повысить уровень, и использовать что-то нормальное, например https://route.thephpleague.com/, или какой-нибудь фреймворк маломальский, типа слима.
@mkramer, понял, спасибо большое! Код понравился, переделаю свой сайт на него. Но возник вопрос. Чтобы это PHP: $routes = ["a" => "a.php", "b" => "b.php"]; не писать и не дописывать туда каждый раз, когда добавляются новые страницы, правильно ли будет, если вместо этого кода получить список файлов в папке pages в массив и разово убрать у них окончание .php? И как правильно поступить, когда url - корень страницы? Добавить ещё одно условие на if ($routePath == "/") ?
Да можно по-разному, дописывания роутов помогает, в принципе, потому что название роута и файла тогда могут не совпадать (а если они, как у меня, совпадают, на самом деле, может и не нужна единая точка входа). Можно в принципе динамически имя файла формировать из маршрута, но там труднее сделать это безопасно. В общем и целом, я, конечно, никогда в реальных программах такое не использовал. Даже когда работал с InstantCMS, в которой по дефолту, в качестве роутинга предлагалось как раз писать огромную функцию со свитчем (раньше, сейчас может получше стало, я лет 8 наверное уже не имел с ней дело), я на уровне своего компонента переходил на создание контроллеров, как во фреймворках.
@Булат Азат улы md5 не рекомендуют использовать, вместо неё, лучше использовать password-verify Можно ещё куку добавить с HttpOnly, а не только сессию.
Админку можно сделать на отдельном (под)домене, чтобы не разбавлять фронт-контроллер левой точкой входа. Можно и в ветке "/administrator/" через единый фронт. Только безо всяких 'Location: /administrator.php' – это же публичный адрес, его в принципе быть не должно (т.е. доступности файла по такому адресу). Белый список нужен. Ассоциативный массив в коде позволяет выполнять быстрый поиск по списку. Загружать на каждый чих полный список накладно (представьте, что он очень большой). Можно делать роутинг по БД. Это ламерский подход. Вам же показали, что первый слеш «отсекается»! И что в итоге остается? Правильно, пустая строка – вполне себе ключ для ассоциативного массива и т.п. Зы: Простая модель для «чайников»
@Dimon2x, спасибо за совет! Переделаю на password-verify. @miketomlin, у меня ещё в форме ввода логина и пароля указан этот файл - "form action='/administrator.php'". Не могли бы подсказать, как правильно или сообщить ссылку, где можно получить такую информацию?
Правильно – забыть про имена php-файлов в адресах, как про страшный сон. Их не то что в адресах быть не должно, к ним не должно быть прямого доступа. Сейчас любой вменяемый хостинг позволяет убрать их из корня. Это самый простой и надежный способ защиты. В корне максимум оставляете фронт (index.php). Причем фронт обычно по /index.php[?query] выдает 404-ую. Адреса для динамика используете только «виртуальные», например /administrator[/].
См., повторять /administrator/ в роутах не обязательно. Можно сделать иерархическое описание, т.е. описать родителя "administrator" с потомками "" (пустая строка) и "remont". Зы: в Простой модели, о которой я писал в статье, можно даже «зациклить»: есть типа страницы g09.ru/, g09.ru/page, g09.ru/index.html и т.п. и есть типа админка в ветке /pages[/] (pages – спец. запись, ссылающаяся на отдельные записи той же таблицы через представление БД), делающая такое: g09.ru/pages[/], g09.ru/pages/page, g09.ru/pages/index.html и т.п. --- Добавлено --- В БД: Код (Text): INSERT INTO `site_categories` (`id`, `name`, `content`, `module`, `bits`) VALUES ('', 'Home', '<h1>It works!</h1>\r\n<p>This is a home page.</p>...', '', 48), ('index.html', 'Иллюзия присутствия', '<p>Такого файла не существует. Вам это только кажется )))</p>', '', 0), ('page', 'Заголовок страницы', '<p>Содержание страницы</p>', '', 16), ('pages', 'Страницы', '', '', 19); При «обычном» роутинге для зацикливания вместо жесткой привязки на уровне БД вы просто «говорите» роутеру, что у pages есть потомки, в результате чего соотв. контроллер сам ищет потомков.
@miketomlin, а как убрать ссылку на PHP-файл с формы входа в админку (ввода логина/пароля)? Там же, как я знаю, вроде всё равно нужно писать ссылку на файл-обработчик? HTML: <form action='/administrator.php' method='POST'><input type='text'><input type='password'><input type='submit'></form>