Ее использование позволяет в некоторой мере защитить web-приложение от SQL-инъекций, XSS и прочих уязвимостей. Она совершает первичную обработку, проверяя, чтобы значение, переданное пользователем, было нужного нам типа.

Все возвращаемые функцией значения также очищаются от посторонних символов с помощью stripslashes () и htmlspecialchars ().

Синтаксис

 mixed request_var ( $var_name , $default [, $multibyte = false [, $cookie = false]] )

Параметры

var_name
Имя параметра, который Вы хотите получить от пользователя.

default
Значение по умолчанию. Если получаемый от пользователя параметр будет отсутствовать, то функция вернет значение, установленное в $default.

Интересно, что у $default есть еще одно полезное свойство: с помощью него функция узнает какой тип должен быть у получаемого от пользователя параметра.

multibyte
Необязательный параметр. По умолчанию установлен в false. Установите в true, если получаемая строка может содержать не-ASCII символы.

cookie
Необязательный параметр. Установите в true, если получаемое Вами значение будет передаваться через cookie.

Примечание: Использовать $_POST, $_GET и $_COOKIE не запрещается, если Вам необходимо проверить наличие параметра, например:

<?php
  $submit = (isset($_POST['submit'])) ? true : false;
?>

Примеры использования

<?php
  // Правильное использование. Переменная типа int.
  $start = request_var('start', 0);
 
  // Неправильное использование, так как это может привести 
  // к SQL-уязвимости, потому что параметр не очистится правильно.
  $start = request_var('start', '0');
 
  // Правильное использование. Переменная типа float.
  $price = request_var('price', 0.0);
?>

Получение мультибайтовой строки:

   $message = utf8_normalize_nfc(request_var('message', '', true));

Внимание: Не забывайте принимать мультибайтовые строки везде, где они могут использоваться. К примеру, при создании топиков, сообщений, личных сообщений и так далее. Всегда нормализируйте получаемые в UTF8 строки. Дело в том, что некоторые символы могут представлены в виде кодов. Например, символ Å может быть представлен кодом U+00C5.

<?php
  $_REQUEST['multibyte_string'] = 'Käse';
 
  // Нормализированная мультибайтовая строка.
  echo utf8_normalize_nfc(request_var('multibyte_string', '', true));
 
  // ASCII строки не нуждаются в нормализировании.
  echo request_var('multibyte_string', '');
 
?>

Получение значения из Cookie:

<?php
  $cookie = request_var('cookie_time', 0, false, true);
?>

Понравилась эта статья?

• Давайте дружить в твитере!
• Есть свое мнение? - Поделитесь им в комментариях!
• Возникли какие-то вопросы? - Задайте мне их лично!
• Интересна информация об авторе? - Узнай больше обо мне!
• Поделитесь ссылкой на эту статью со своими друзьями!

Функция trigger_error () в коде phpBB 3 используется повсеместно. Я решил в этой заметке сделать более подробный обзор этой функции.

Сегодня мы рассмотрим синтаксис, возможные параметры, а также примеры использования.

trigger_error () генерирует ошибки/предупреждения/замечания или непосредственно страницу с каким-нибудь сообщением, например, «Ваша тема была успешно создана».

Синтаксис

 bool trigger_error ( string $error_msg [, int $error_type ] )

После выполнения данная функция завершает выполнение скрипта. Функция использует шаблон message_body.html при генерации ответа.

Параметры

error_msg
Сообщение об ошибке, которое будет возвращаться пользователю. Помните, что использовать напрямую вывод текстовых строк крайне нежелательно. Используйте языковые переменные.

error_type
Тип ошибки. По умолчанию установлено в E_USER_NOTICE. Может быть трех типов: E_USER_NOTICE, E_USER_WARNING, and E_USER_ERROR.

• E_USER_NOTICE — Используется в ситуациях, когда нужно сообщить пользователю какую либо информацию. Например, об успешном завершении авторизации. В администраторском аккаунте использование E_USER_NOTICE выводит зеленый информационный блок.
• E_USER_WARNING — Используется, когда нужно сообщить об ошибке. Для пользователей клиентской части сообщение выглядит точно так же, как и для E_USER_NOTICE. Но в администраторском аккаунте E_USER_WARNING выводит красный информационный блок.
• E_USER_ERROR — Должно использоваться только для серверных ошибок. Например, если сессия пользователя недоступна. Или если произошла ошибка SQL.

Примеры использования

Использование E_USER_NOTICE (пользовательской ошибки)

// Проверка какого-либо значения.
if (!$email)
{
    // Так делать нельзя. Лучше использовать языковые переменные.
    trigger_error('Вы не ввели e-mail адрес');
}

Использование E_USER_ERROR (серверной ошибки)

switch ($mode)
{
    // Здесь какой-либо код...
 
    // default вызывается, если никакой вариант switch`а не подошел.
    // В нашем коде под этим подразумевается какая-либо ошибка, так как
    // при нормальном функционировании скрипта этого произойти не должно.
    default:
 
        // Сообщаем об ошибке, используя языковую переменную.
        // Используем E_USER_ERROR, так как это серъезная ошибка, и требует
        // вмешательства администратора.
        trigger_error($user->lang['NO_MODE'], E_USER_ERROR);
    break;
}

Примечания

В phpBB 3 используется функция set_error_handler () для перехвата trigger_error ().

Понравилась эта статья?

• Давайте дружить в твитере!
• Есть свое мнение? - Поделитесь им в комментариях!
• Возникли какие-то вопросы? - Задайте мне их лично!
• Интересна информация об авторе? - Узнай больше обо мне!
• Поделитесь ссылкой на эту статью со своими друзьями!

Если же Вам нужно сделать единую авторизацию с более экзотической системой, то придется все делать самому. Ну или заказать разработку у специалистов.

К счастью, разработчики phpBB предусмотрели эту проблему, и заранее сделали механизм авторизации легко расширяемым. В этой статье мы попробуем написать свой простой плагин авторизации.

Запрет регистрации

Логично предположить, что перед активацией нашего модуля авторизации мы должны запретить регистрацию в самом phpBB. Создавая плагин авторизации заранее предпологается, что пользователи будут регистрироваться в другом месте.

Для этого в администраторском аккаунте перейдите на вкладку Общие, и в левом меню выберите «Регистрация пользователей». Далее отключаем регистрацию:

Все плагины авторизации расположены в директории includes/auth/. Там уже есть несколько готовых плагинов.

• auth_db — плагин, включенный по умолчанию. Он отвечает за авторизацию через базу данных phpBB.
• auth_apache — плагин, соответственно для авторизации использующий встроенные средства веб-сервера Apache.
• auth_ldap — плагин, использующий для аутентификации сетевой протокол доступа к каталогам LDAP

Пусть наш плагин будет называться auth_simple. Создайте файл auth_simple.php в директории includes/auth с таким содержимым:

< ?php
 
/**
*
* Пример плагина авторизации для phpBB3
*
*/
 
/**
* @ignore
*/
if (!defined('IN_PHPBB'))
{
	exit;
}
 
/**
* Функция, отвечающая за авторизацию.
*/
function login_simple(&$username, &$password)
{
 
           // Запрещаем пустой пароль.
           if (!$password)
           {
                      return array(
                                  'status' => LOGIN_ERROR_PASSWORD,
                                  'error_msg' => 'NO_PASSWORD_SUPPLIED',
                                  'user_row' => array('user_id' => ANONYMOUS),
                      );
           }
 
           // Запрещаем пустое имя пользователя.
           if (!$username)
           {
                      return array(
                                  'status' => LOGIN_ERROR_USERNAME,
                                  'error_msg' => 'LOGIN_ERROR_USERNAME',
                                  'user_row' => array('user_id' => ANONYMOUS),
                      );
           }
 
           // Обычная проверка на правильность.
           if ( ("test" === $username) && ("test" === $password)  )
           {
                // Сообщаем, что авторизация прошла успешно.
                return array(
                                  'status'     => LOGIN_SUCCESS,
                                  'error_msg'  => false,
                                  'user_row'	 => array(
                                     "username"       => $username,  // Отображаемое имя пользователя
                                     "user_password"  => phpbb_hash($password),  // phpbb-хеш пароля
                                     "user_email"     => "test@v673.com",  // E-mail пользователя, если существует
                                     "user_type"      => USER_NORMAL // Тип пользователя, объявленный в constants.php
                                 ),
                );
 
           }
 
 
           // Возвращаем ошибку авторизации.
           return array(
               'status'     => LOGIN_ERROR_PASSWORD,
               'error_msg'  => 'LOGIN_ERROR_PASSWORD',
               'user_row'   => array('user_id' => ANONYMOUS),
           );
 
}
 
?>

Теперь необходимо активировать наш плагин авторизации. Для этого перейдите в вкладку Общие и в левом меню выберите пункт Аутентификация. Выберите наш метод авторизации:

Все! Сегодня мы спрограммировали небольшой плагин для системы авторизации. Теперь Вы можете легко интегрировать phpBB с различными системами. В другой статье, которую напишу позже, я расскажу Вам более подробно о создании плагинов аутентификации.

Понравилась эта статья?

• Давайте дружить в твитере!
• Есть свое мнение? - Поделитесь им в комментариях!
• Возникли какие-то вопросы? - Задайте мне их лично!
• Интересна информация об авторе? - Узнай больше обо мне!
• Поделитесь ссылкой на эту статью со своими друзьями!

Это может пригодиться, если Вам понадобится создать страницу, которая выглядит также как и Ваш форум.

Например, содержащая описание сайта или его правила.

Шаг первый

Для начала давайте создадим файл about.php в корне нашего форума:

< ?php
// Указываем всем подключающимся скриптам,
// что они вызывается из главного файла.
// Для защиты от вызова их напрямую.
define('IN_PHPBB', true);
 
// Создаем переменную, содержащую
// путь к корню сайта.
$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : './';
 
// Указываем расширение к подключаемым файлам.
// Обычно .php.
$phpEx = substr(strrchr(__FILE__, '.'), 1);
 
// Подключаем ядро phpBB.
include($phpbb_root_path . 'common.' . $phpEx);
 
// Запускаем инициализацию сессии.
$user->session_begin();
$auth->acl($user->data);
$user->setup();
 
// Можно запретить доступ к этой странице
// всем незарегистрированным пользователям.
// Этот запрет не действует на поисковых ботов.
if (!$user->data['user_id'] == ANONYMOUS)
{
    login_box('', $user->lang['LOGIN']);
}
 
// Если Вы хотите запретить доступ к данной странице
// и поисковым ботам, то используйте следующую проверку.
// Ботов будет перенаправлять на главную страницу.
if ($user->data['is_bot'])
{
   redirect(append_sid("{$phpbb_root_path}index.$phpEx"));
}
 
// Устанавливаем заголовок страницы.
page_header('About Us');
 
// Указываем, какие файлы шаблонов подключать.
$template->set_filenames(array(
    'body' => 'aboutus_body.html',
));
 
// Подключаем нижнюю часть страницы.
page_footer();
 
?>

Шаг второй

Теперь давайте создадим файл шаблона styles/имя_вашего_стиля/template/aboutus_body.html. Он будет содержать непосредственно HTML-код страницы. Незабудьте сохранить данный файл в UTF-8.

<!-- INCLUDE overall_header.html -->
 
<h2>Здесь заголовок страницы</h2>
 
<div class="panel">
   <div class="inner">
      <div class="content">
 
             Здесь содержимое.
      </div>
   </div>
</div>
 
<!-- INCLUDE overall_footer.html -->

Шаг третий

Все готово! Нам осталось только увидеть в работе результат наших трудов. Сделанная нами страница будет доступна по адресу http://ваш_сайт.com/about.php.

За основу для данной статьи был взят материал из phpBB Development Wiki.

Понравилась эта статья?

• Давайте дружить в твитере!
• Есть свое мнение? - Поделитесь им в комментариях!
• Возникли какие-то вопросы? - Задайте мне их лично!
• Интересна информация об авторе? - Узнай больше обо мне!
• Поделитесь ссылкой на эту статью со своими друзьями!

Использование прав доступа делает Ваш скрипт более гибким и управляемым, а также позволяет администраторам активировать для разных пользователей только необходимые им функции в Вашем модуле, отключая ненужные.

Давайте перейдем непосредственно к примерам...

Типы прав доступа

Все права доступа phpBB 3 разделяет на следующие категории:

• Администраторские
• Модераторские
• Пользовательские
• Общефорумные

На основе принадлежности к вышеприведенным группам и формируются префиксы в именах прав доступа.

Проверка прав доступа

Глобальные права

Давайте проверим, к примеру, может ли пользователь просматривать профайлы других пользователей:

if (!$auth->acl_get('u_viewprofile'))
{
     trigger_error('NOT_AUTHORISED');
}

Если таких прав у него не будет, то он увидит сообщение об ошибке и скрипт остановит свое выполнение после trigger_error ().

Локальные права

Если Вы хотите проверить локальные права, к примеру, возможность читать сообщения в форуме с ID 5, используйте следующий код:

if (!$auth->acl_get('f_read', 5))
{
     trigger_error('NOT_AUTHORISED');
}

Список всех существующих прав Вы можете найти в таблице phpbb_acl_options в Вашей базе данных.

Добавление новых прав доступа

Обратите внимание: Идентификатор права доступа не должен содержать заглавных букв, иначе Вы столкнетесь с проблемой при попытке добавить модуль, который требует это право доступа.

Пример создания права доступа используя API-интерфейс phpBB 3. Запускайте этот код в установщике Вашего модуля:

< ?php
/**
*
* Скрипт устанавливает права доступа в базу данных для модуля foo
* @license http://opensource.org/licenses/gpl-license.php GNU Public License
*
*/
 
/**
* @ignore
*/
 
// Инициализируем страницу
define('IN_PHPBB', true);
define('IN_INSTALL', true);
$phpbb_root_path = (defined('PHPBB_ROOT_PATH')) ? PHPBB_ROOT_PATH : './../';
$phpEx = substr(strrchr(__FILE__, '.'), 1);
include($phpbb_root_path . 'common.' . $phpEx);
 
// Запускаем сессию
$user->session_begin();
$auth->acl($user->data);
$user->setup('mods/foo');
 
// Подключаем класс $auth_admin для управления правами доступа
include($phpbb_root_path . 'includes/acp/auth.' . $phpEx);
$auth_admin = new auth_admin();
 
// Добавляем права доступа как локальные.
// Но Вы можете сделать их и как глобальные.
$auth_admin->acl_add_option(array(
    'local'        => array('f_survey_design', 'f_survey_takeforothers', 'f_survey_viewhiddenresults'),
    'global'    => array()
));
 
$message = $user->lang['ADDED_PERMISSIONS'] . '
 
';
$message .= $user->lang['REMOVE_INSTALL'];
trigger_error($message);
 
?>

Если по какой-то причине Вы не используете установщика для Вашего модуля, Вы можете создать страницу вроде install/install_permissions.php, которая будет содержать следующий код:

Затем добавьте следующую строчку в файл language/ru/mods/foo.php (или language/ru/common.php):

'ADDED_PERMISSIONS'    => 'Права доступа были успешно добавлены в базу данных',

Использование SQL

Суровые челябинские программисты предпочитают вставлять права доступа напрямую в базу данных. Для этого Вам нужно выполнить запрос вроде следующего:

INSERT INTO phpbb_acl_options (auth_option, is_global, is_local, founder_only) VALUES ('u_view_foo', 1, 0, 0);
INSERT INTO phpbb_acl_options (auth_option, is_global, is_local, founder_only) VALUES ('u_manage_foo', 1, 0, 0);

После выполнения SQL-запросов Вам нужно будет очистить кеш. Это можно сделать следующими способами:

• удалить cache/data_global.php и cache/data_global.php
• или выполнить $cache->destroy ('acl_options');

Языковые файлы

В любом случае настоятельно рекомендуется добавлять языковые переменные для только что созданных прав доступа. Для этого просто создайте файл permissions_foo.php в language/ru/mods. Впоследствие он автоматически подключится ядром phpBB 3.

Мы только что добавили категорию «foo» (будет отображаться как новая вкладка). Все права доступа, у которых 'cat' => 'foo' будут отображаться в нашей вкладке.

Созданное право доступа уже готово к использованию. Теперь узнаем, может ли пользователь просматривать модуль foo:

if (!$auth->acl_get('u_view_foo'))
{
     trigger_error('NOT_AUTHORISED');
}

Вот мы и рассмотрели небольшие примеры для работы с правами доступа. Надеюсь, что Вы получили общее представление о том, как они работают в phpBB 3.

Материал подготовлен на основе соответствующей статьи в phpBB Development Wiki.

Понравилась эта статья?

• Давайте дружить в твитере!
• Есть свое мнение? - Поделитесь им в комментариях!
• Возникли какие-то вопросы? - Задайте мне их лично!
• Интересна информация об авторе? - Узнай больше обо мне!
• Поделитесь ссылкой на эту статью со своими друзьями!