SimpleHTMLDom ļauj atlasīt vajadzīgo saturu ar tikai dažām koda rindiņām un izmanto tādus pašus selektorus kā jQuery vai Prototype Javascript framework.

Nepieciešams tikai iegūt HTML kodu no lokāla faila vai attālināti (file_get_html() vai cURL) un atlasīt saturu ar simpledomhtml funkciju find(). Zemāk redzamais piemērs atradīs visus virsrakstus no webdev.gold.lv pirmās lapas un izvadīs tos vienu zem otra:

include_once('simplehtmldom/simple_html_dom.php');
 
$html = file_get_html('http://webdev.gold.lv/');
foreach($html->find('.title span') as $e) {
    print $e->plaintext.'';
}
$html->clear();

Patreiz lielākais trūkums ir lielais atmiņas izmantojums, jo pie HTML koda nolasīšanas tiek izveidots ļoti liels vairākdimensiju masīvs un tādēļ nedrīkst aizmirst par $html->clear(); pēc parsēšanas.

Vairāk piemēru un laba dokumentācija atrodama SimpleHTMLDom mājas lapā.

Arī JavaScript var pilnībā atdalīt no lapas satura un ne tikai glabāt to atsevišķos failos, bet arī nelietot tādus event`us kā onClick, onMouseOver, onLoad u.t.t. JavaScript web-lapā ir papildus funkcionalitāte un nedrīkst paļauties uz tā atbalstu lietotāja pārlūkprogrammā, jo tas var būt gan vienkārši atslēgts, gan izfiltrēts, gan netikt atbalstīts mobilajās ierīcēs.

Agrāk mēs to darījām šādi:

<a id="mylink" href="#" onMouseOver="something(this);">...</a>

Bet pareiza pieeja šajā gadījumā ir izvairīties no onMouseOver event`a (tā pat kā no jebkura cita) un atsevišķā javascript failā piemērot vajadzīgo papildus funkcionalitāti šim elementam:

document.getElementById('mylink').onMouseOver = function() {
    // Kods, kurš izpildīsies pēc peles uzbīdīšanas uz saites
};

Šāda pieeja ir arī nesalīdzināmi parocīgāka, ja vēlamies pievienot papildus funkcionalitāti uzreiz vairākiem elementiem. Tad ir nepieciešams atrast visus šos elementus (piemēram, pēc klases nosaukuma) un piešķirt tiem izpildāmo kodu. Piemērs:

HTML:

<img src="img1.jpg" class="popupImg" alt="attēls1" />
<img src="img2.jpg" class="popupImg" alt="attēls2" />
<img src="img3.jpg" class="popupImg" alt="attēls3" />

JavaScript:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

window.onload = function(){ // Izpildam tikai pēc lapas ielādes
   var nodes = getElementsByClass('popupImg'); // Atrodam visus elementus ar klasi "popupImg"
   for(i=0; i<nodes.length; i++) {
      nodes[i].onclick = function() {
         // Norādam kas notiks pēc onClick event`a:
         alert(this.alt);
      };
   }
}
 
// Papildus funkcija, kas atgriež masīvu ar visiem vienas klases elementiem
function getElementsByClass( searchClass, domNode, tagName) {
	if (domNode == null) domNode = document;
	if (tagName == null) tagName = '*';
	var el = new Array();
	var tags = domNode.getElementsByTagName(tagName);
	var tcl = " "+searchClass+" ";
	for(i=0,j=0; i<tags.length; i++) {
		var test = " " + tags[i].className + " ";
		if (test.indexOf(tcl) != -1)
			el[j++] = tags[i];
	}
	return el;
}

SQL injekcijas
Ja dati pirms to saglabāšanas datu bāzē netiek pareizi apstrādāti, tad ļaundaris var injicēt papildus nosacījumus SQL pieprasījumos, kā rezultātā ir iespējams nolasīt/labot/dzēst jebkurus datus datu bāzē. Vairāk par SQL uzbrukumiem - SQL Injection Cheat Sheet.

Lai izvairītos no SQL injekcijām, visi dati pirms to ievietošanas SQL pieprasījumā ir jāapstrādā ar funkciju mysql_real_escape_string.

XSS - Cross Site Scripting
Viena no biežākajām ievainojamībām web-lapās ir tieši XSS - JavaScript koda injekcija, kas ļauj vizuāli izmainīt web-lapu, pārvirzīt tās apmeklētājus vai iegūt informāciju par tiem, nolasīt cookie datus un izmantot visas pārējās JavaScript iespējas. Piemēram, slikti aizsargātā lapā, apmeklētājs var pievienojot komentāru norādīt savu vārdu kā <script>window.location=”http://someplace.com”;
<script>, kā rezultātā pie komentāru apskates visi apmeklētāji tiks pārsūtīti uz citu lapu. Par dažādiem XSS piemēriem var palasīties iekš http://ha.ckers.org/xss.html. Tāpēc visi dati pirms izvadīšanas web-lapā ir jāapstrādā vismaz ar funkciju htmlentities().

Aizsardzība pret nozagto sesiju lietošanu

Parasti pēc sesijas izveidošanas lietotāja pārlūkprogrammā tiek saglabāts cookie ar sesijas ID, kas pēc noklusējuma ir vienīgais veids lai noteiktu, ka tieši šim lietotājam atbilst konkrētā sesija ar visu tajā esošo informāciju. Ja ļaundarim izdodās uzzināt šo sesijas ID (kas var būt izdarāms gan ar SQL injekciju, gan, visbiežāk, ar XSS, gan jebkādā veidā nolasot cookie failus no lietotāja datora), tad viņš norāda tādu pašu ID savā pārlūkprogrammā un iegūst no dotās web-lapas to pašu, ko cietušais lietotājs, piemēram, pieeju pie administrēšanas paneļa vai profilu forumā.

Pilnībā izslēgt jebkādu iespēju nozagt sesijas ID un/vai jebkurus citus cookie datus ir gandrīz neiespējami un tāpēc ir jāparūpējas par aizliegumu izmantot vienu sesiju vairākos datoros. Populārākais un, iespējams, labākais risinājums ir pie sesijas izveidošanas (piemēram, pēc ielogošanās formas) saglabāt lietotāja IP adresi un pie katras nākamās lapas ielādes to salīdzināt ar faktisko IP adresi, un gadījumā, ja abas IP nesakrīt, izdzēst sesiju.

Paroļu šifrēšana

Pašsaprotami, ka paroles nedrīkst tikt glabātas tīrā teksta veidā un tām ir jābūt šifrētam vismaz ar MD5 algoritmu, bet arī tas nav drošs risinājums, jo izmantojot brute-force metodi, pat septiņu simbolu paroles atminēšanai nav nepieciešams vairāk par dažām stundām uz viduvējas veiktspējas datora.

Tādēļ parolēm ir obligāti jāpievieno tā saucamais salt, kas ir papildus simboli pie paroles un padara to garāku lai padarītu paroles atminēšanu neiespējamu gadījumos, kad ļaundarim ir zināms tikai paroles hash. Piemērs:

$password = 'qwerty'; // Lietotāja ievadītā parole
$salt = md5($username.'#!'); // SALT no lietotāja vārda un divi papildus simboli
$password = MD5($password.$salt); // Galējais paroles hash

Rezultātā ļaundarim ir jāatmin hash`a vērtību nevis vienkāršai 6 simbolu parolei, bet nu jau 26 simbolu parolei, kas ir praktiski neiespējami bez pilnas pieejas pie visas datu bāzes un web-lapas izejas koda.

Nedaudz sarežģītāk ir ar tādām lapām, kurās visi attēli ir PNG formātā un daļa no tiem ir caurspīdīgi. Visērtāk ir pielietot gatavus skriptus, bet tie visbiežāk aizvieto arī necaurspīdīgos PNG un dēļ dažiem ierobežojumiem tiek sabojātā visa lapa. Priekš sevis es atradu iepngfix.htc kā ērtāko risinājumu, jo attēlu aizvietošanu varam piemērot tikai atsevišķiem elementiem, kur tas tiešām ir nepieciešams. Lūk arī neliels piemērs:

1
2
3
4
5
6
7
8

 <head>
 ...
 <!--[if lt IE 7]>
  <style type="text/css">
   .filter, img { behavior: url(iepngfix.htc) }
  </style>
 <![endif]-->
</head>