Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revisionPrevious revision
Next revision		Previous revision
el:developers:library [2022/10/26 14:03] adminel:developers:library [2022/10/26 14:08] (current) admin
Line 5: Line 5:
 === Είσοδος τιμών από το χρήστη (GET, POST) === === Είσοδος τιμών από το χρήστη (GET, POST) ===
  
-<code class="php">$user_id = intval($_GET['user_id']);</code>+<code>$user_id = intval($_GET['user_id']);</code>
  
 Για την είσοδο πολλαπλών τιμών που έρχονται με POST, έχουμε την παρακάτω κλήση: Για την είσοδο πολλαπλών τιμών που έρχονται με POST, έχουμε την παρακάτω κλήση:
Line 12: Line 12:
 Για παράδειγμα:  Θέλουμε να ορίσουμε τις global μεταβλητές string $name και $description, οι οποίες περιέχουν τις τιμές των αντίστοιχων τιμών του POST με αυτόματο escaping/quoting, και τις ακέραιες μεταβλητές $student_id και $group_id. Η τιμή description είναι προαιρετική. Για παράδειγμα:  Θέλουμε να ορίσουμε τις global μεταβλητές string $name και $description, οι οποίες περιέχουν τις τιμές των αντίστοιχων τιμών του POST με αυτόματο escaping/quoting, και τις ακέραιες μεταβλητές $student_id και $group_id. Η τιμή description είναι προαιρετική.
  
-<code class="php">$form_ok = register_posted_variables(+<code>$form_ok = register_posted_variables(
                 array('name' => true, 'description' => false),                 array('name' => true, 'description' => false),
                 'all', 'quote') &&                 'all', 'quote') &&
Line 20: Line 20:
  
 Η $form_ok θα είναι αληθής αν οι παράμετροι name, student_id και group_id έχουν λάβει μη μηδενικές/κενές τιμές στο POST. Η $form_ok θα είναι αληθής αν οι παράμετροι name, student_id και group_id έχουν λάβει μη μηδενικές/κενές τιμές στο POST.
 +
 +----
  
 === Rich text (HTML) – αποφυγή XSS === === Rich text (HTML) – αποφυγή XSS ===
Line 27: Line 29:
 Παράδειγμα: έστω μια φόρμα από την οποία έρχονται με POST οι τιμές title (plain text) και description (rich text). Παράδειγμα: έστω μια φόρμα από την οποία έρχονται με POST οι τιμές title (plain text) και description (rich text).
  
-<code class="php">$title = $_POST['title'];+<code>$title = $_POST['title'];
 $descr = purify($_POST['description']); $descr = purify($_POST['description']);
 </code> </code>
Line 35: Line 37:
 Το απλό κείμενο (plain text), κατά την εμφάνιση στο χρήστη, πρέπει να γίνεται escape μέσω της κλήσης q() (ουσιαστικά πρόκειται για alias της htmlspecialchars() με πιο σύντομο όνομα). Το απλό κείμενο (plain text), κατά την εμφάνιση στο χρήστη, πρέπει να γίνεται escape μέσω της κλήσης q() (ουσιαστικά πρόκειται για alias της htmlspecialchars() με πιο σύντομο όνομα).
  
-<code class="php">$tool_content .= "<h3>" . q($title) . "</h3>";</code>+<code>$tool_content .= "<h3>" . q($title) . "</h3>";</code> 
 + 
 +----
  
 === Εμφάνιση κειμένου με μορφοποίηση (Rich Text–HTML) === === Εμφάνιση κειμένου με μορφοποίηση (Rich Text–HTML) ===
Line 44: Line 48:
 * Λέξεις γλωσσαρίου (που επεκτείνονται όπου εμφανίζονται σε συνδέσμους με τον ορισμό τους) * Λέξεις γλωσσαρίου (που επεκτείνονται όπου εμφανίζονται σε συνδέσμους με τον ορισμό τους)
  
-<code class="php">$tool_content .= '<div>' . standard_text_escape($descr) . '</div>';</code>+<code>$tool_content .= '<div>' . standard_text_escape($descr) . '</div>';</code>
  
 Στην περίπτωση που εμφανίζουμε μια τιμή που δεν έχει περάσει από purify() στην είσοδο, για παράδειγμα αν ξαναδείξουμε στο χρήστη κείμενο που έδωσε, δεν παραλείπουμε το purify(): Στην περίπτωση που εμφανίζουμε μια τιμή που δεν έχει περάσει από purify() στην είσοδο, για παράδειγμα αν ξαναδείξουμε στο χρήστη κείμενο που έδωσε, δεν παραλείπουμε το purify():
  
-<code class="php">$tool_content .= standard_text_escape(purify($_POST['descr']));</code>+<code>$tool_content .= standard_text_escape(purify($_POST['descr']));</code> 
 + 
 +----
  
 === Εμφάνιση τιμών για χρήση από JavaScript === === Εμφάνιση τιμών για χρήση από JavaScript ===
Line 54: Line 60:
 String που χρησιμοποιούνται σε κώδικα JavaScript πρέπει να γίνονται escape με τη συνάρτηση js_escape(). Για παράδειγμα: String που χρησιμοποιούνται σε κώδικα JavaScript πρέπει να γίνονται escape με τη συνάρτηση js_escape(). Για παράδειγμα:
  
-<code class="php">$head_content .= "+<code>$head_content .= "
 <script type="text/javascript"> <script type="text/javascript">
 var langConfirmDelete = '" . js_escape($langConfirmDelete)  . "'; var langConfirmDelete = '" . js_escape($langConfirmDelete)  . "';
Line 61: Line 67:
 </code> </code>
  
 +
 +----
  
 === Πεδία για φόρμες === === Πεδία για φόρμες ===
  
-<code class="php">selection($entries, $name, $default = '', $extra = '')</code> +<code>selection($entries, $name, $default = '', $extra = '')</code> 
-<code class="php">multiselection($entries, $name, ...)</code> +<code>multiselection($entries, $name, ...)</code> 
-   όπου: <code class="php">$entries = array('id1' => 'value1',  'id2' => 'value2' ...)</code> +   όπου:  
-<code class="php">text_area($name, $rows, $cols, $text, $extra = '')</code> +<code>$entries = array('id1' => 'value1',  'id2' => 'value2' ...)</code> 
-<code class="php">rich_text_editor($name, $rows, $cols, $text, $extra = '')</code>+<code>text_area($name, $rows, $cols, $text, $extra = '')</code> 
 +<code>rich_text_editor($name, $rows, $cols, $text, $extra = '')</code>
  
 Η παράμετρος $name περιέχει το όνομα του πεδίου στη φόρμα. Η παράμετρος $extra περιέχει πρόσθετες ιδιότητες (πχ. κλάση, id, JavaScript) που θα προστεθούν στο HTML element του πεδίου. Η παράμετρος $name περιέχει το όνομα του πεδίου στη φόρμα. Η παράμετρος $extra περιέχει πρόσθετες ιδιότητες (πχ. κλάση, id, JavaScript) που θα προστεθούν στο HTML element του πεδίου.
 +
 +----
  
 === Eμφάνιση εικονιδίων από font awesome === === Eμφάνιση εικονιδίων από font awesome ===
  
-<code class="php">icon($name, $title = null, $link = null, $link_attrs = null, $with_title = false, $sr_only = false)</code>+<code>icon($name, $title = null, $link = null, $link_attrs = null, $with_title = false, $sr_only = false)</code>
  
 Παράδειγματα:  Παράδειγματα: 
  
-<code class="php">icon('fa-gears')</code> +Χρησιμοποιούμε την κλήση  
-<code class="php">icon('fa-smile-o', $langQuestionVeryEasy)</code> + 
-<code class="php">icon('fa-edit', $langModify, "group_description.php?course=$course_code&amp;group_id=$group_id"</code>+<code>icon($name, $title null, $link = null, $link_attrs = '', $with_title = false, $sr_only = false)</code> 
 + 
 +Παραδείγματα: 
 + 
 +<code>icon('fa-gears')</code> 
 +<code>icon('fa-smile-o', $langQuestionVeryEasy)</code> 
 +<code>icon('fa-edit', $langModify, "group_description.php?course=$course_code&amp;group_id=$group_id"</code> 
 + 
 +----
  
 === Εμφάνιση χρήστη με link στο προφίλ === === Εμφάνιση χρήστη με link στο προφίλ ===
  
-Γίνεται με την κλήση <code>display_user($user_id)</code>+Χρησιμοποιούμε την κλήση <code>display_user($user_id)</code> 
 + 
 +----
  
 === Στοιχεία χρήστη === === Στοιχεία χρήστη ===
  
- <code>uid_to_username($uid)</code>+<code>uid_to_username($uid)</code>
 <code>uid_to_name($uid)</code> <code>uid_to_name($uid)</code>
 <code>uid_to_surname($uid)</code> <code>uid_to_surname($uid)</code>