php और mysql, सर्वोत्तम प्रथाओं

Question

मैंने आज php और mysql के साथ काम करना शुरू कर दिया। असल में, मेरे पास जो है, वह एक खाली पृष्ठ है जिसमें मैं डेटाबेस में एक आईडी देखने से भरता हूं।

<a href="content/display.php?id=id1"> 

और फिर मेरी display.php में मैं इस किया है::

<?php 
    include '../includes/header.php'; 
    $id = $_GET['id']; 
    $mysqli = new mysqli('localhost','username','password','dbname'); 
    if($result = $mysqli->query("SELECT * FROM portfolio WHERE id='".$id."'")) 
    { 
     while($row = $result->fetch_object()) 
     { 
      $head = $row->head; 
      $img1 = $row->img1; 
      $img2 = $row->img2; 
      $img_url = $row->imgurl; 
      $img_thumb = $row->imgthumb; 
      $vid = $row->vid; 
      $swf = $row->swf; 
      $url = $row->url; 
      $url_text = $row->urltext; 
      $text = $row->text; 
     } 
    } 
    else echo $mysqli->error; 
?> 

ऐसा नहीं है कि में एक विरल तालिका नहीं उन क्षेत्रों के सभी तो मेरे मुखपृष्ठ पर मैं एक यूआरएल है कि इस तरह दिखता है जानकारी होगी (कई शून्य हो सकता है)। मूल रूप से वे html में फ़ाइल नाम शामिल हैं और फिर मैं कोड है कि इस तरह दिखता है:

if(isset($img1)) 
        { 
         echo '<img src="images/'.$img1.'" />'; 
        } 

सवालों की एक जोड़ी,

1. इस यह करने के लिए सबसे अच्छा तरीका है?
2. हर बार जब मैं display.php पर जाता हूं, तो मैं डेटाबेस कनेक्शन को फिर से खोल रहा हूं? यह अच्छा नहीं हो सकता है ...
3. मैंने पूरे पथ नामों, या यहां तक ​​कि वास्तविक फाइलों के बजाय डेटाबेस में फ़ाइलों का नाम भी चुना है, यह समझते हुए कि, अगर मैं फ़ाइल का नाम बदलता हूं I डेटाबेस में जा सकते हैं और उस फ़ाइल के लिए इसे अपडेट कर सकते हैं जिसे मैं बदलना चाहता हूं। अगर मैं पथ बदलता हूं, तो मैं इसे HTML में एक बार बदल सकता हूं। क्या यह सबसे अच्छा विचार है?

धन्यवाद!

Answer 1

1) नहीं:

ऐसे mysql_real_escape_string रूप

$id = (int) $_GET['id']; 

उपयोग कार्य या और भी बेहतर उपयोग हालांकि यह शुरुआत के लिए सबसे आसान तरीका है। मूल बातें के साथ सहज महसूस करने के बाद, आपको आवेदन संरचना के विभिन्न दृष्टिकोणों पर विचार करने में कुछ समय व्यतीत करना चाहिए। सबसे महत्वपूर्ण नियम चिंताओं को अलग करना है। प्रस्तुति कोड के साथ व्यापार तर्क कोड के साथ डेटाबेस कोड मिश्रण मत करो। लेकिन जैसे मैंने कहा, यह ऐसा कुछ नहीं है जिसे आपको अपने पहले दिन चिंता करनी चाहिए। अभी के लिए बस मूल बातें सीखो।

2) वास्तव में कोई अन्य तरीका नहीं है। वेब एप्लिकेशन के लिए ब्राउज़र से प्रत्येक अनुरोध एप्लिकेशन के व्यक्तिगत रन की तरह होता है। तथाकथित निरंतर डेटाबेस कनेक्शन का उपयोग करने की संभावना है, लेकिन पिछले बिंदु की तरह ही, ऐसा कुछ है जिसे आपको अपने पहले दिन से निपटना नहीं चाहिए, क्योंकि उन्हें आपके वेब सर्वर की विशिष्ट कॉन्फ़िगरेशन की आवश्यकता होती है। उस समय के लिए सामान्य कनेक्शन का उपयोग करें।

3) यह बहुत समझदार विचार है। आप अपने छवि पथ को PHP स्थिर के रूप में भी परिभाषित कर सकते हैं, ताकि यदि किसी बदलाव की आवश्यकता हो, तो आप केवल एक स्थिर को बदल दें।

4) एसएसी का कहना है कि उनके जवाब में बहुत महत्वपूर्ण है। एसक्यूएल इंजेक्शन और उन्हें रोकने के बारे में पढ़ें।

Answer 2

आप SQL injection लिए जोखिम रहता है ठीक से अपने चर डाली प्रकार,:,

• Prepared Statements

Answer 3

एसक्यूएल इंजेक्शन & तैयार कथन पहले ही उल्लेख किए गए हैं।कि में नया होगा:

else echo $mysqli->error; 

बदलें कि करने के लिए:

else trigger_error($mysqli->error,E_USER_ERROR); 

क्यों आप से पूछना? क्योंकि आगंतुकों को आपके डेटाबेस के बारे में कोई जानकारी नहीं होनी चाहिए, और त्रुटि को ठीक नहीं कर सकता है, इसलिए उन्हें सादे इसे नहीं देखना चाहिए। इस तरह, आप display_errors पर सुरक्षित रूप से विकसित कर सकते हैं, और लाइव साइट display_errors बंद है, और आप log_errors त्रुटि लॉग में हैं।

Answer 4

ऐसा लगता है कि आप जो करना चाहते हैं उस पर अच्छा संभाल है। मुझे नहीं पता कि आपके पास कितनी विकास पृष्ठभूमि है, लेकिन केवीपीएचपी, फ्यूज, या यहां तक ​​कि ज़ेंड फ्रेमवर्क (ब्लीह !!!) जैसे एमवीसी के बारे में सीखना शुरू करना एक अच्छा विचार होगा। मैं आपको अपने सभी बुनियादी डीबी इंटरफ़ेस, टेम्पलेट हैंडलिंग, सत्र हैंडलिंग को पूर्व परिभाषित करके और अधिक लम्बे अनुप्रयोगों पर समय बचाऊंगा, और आपको उच्च स्तर की समस्याओं के बारे में चिंता करने देता हूं, जैसे लंच के लिए क्या है! :)