Интернет пережил пик своего бурного развития и сейчас собственных сайтов нет разве что у домашних животных (хотя некоторые маргиналы умудряются вести блоги за своих питомцев). Если проанализировать и сопоставить количество созданных ресурсов и количество более-менее разбирающихся в вопросах обеспечения сетевой безопасности людей, мы получим довольно прискорбную картину. Главным бичом сайтостроительства, как я считаю, являются свободно распространяемые скрипты. Так уж вышло, что за годы через мои руки прошло огромное количество подобных творений, и зачастую они оставляют весьма дурное впечатление. Самое ужасное – это их открытый код, в котором хакеры выискивают тонны уязвимостей, и часто встречающееся доверие к таким скриптам пользователей, считающих создателей если не небожителями, то уж точно кевинмитниками от программирования.

В данной статье я дам практические советы по обеспечению безопасности динамического веб-проекта, поделюсь нестандартными методами защиты. Много практики и минимум теории – её ищите в мануалах и книгах, а также на просторах Сети. Кроме того, я не буду заострять внимание на всем известных багах навроде "ядерного нуля” – читайте "Хакер”, и будет вам счастье.

Для начала

Для начала определимся с конфигурацией. Мои примеры будут работать на зыке Perl (я буду пояснять их, поэтому портирование на другие языки не вызовет затруднений) и сервере Apache. На практически всех уважаемых хостингах данные вещи присутствуют в необходимом объёме.

Стоит также пояснить, что я расскажу о методах защиты от проникновения через веб-скрипты. Дырявые демоны, настройка фаервола и прочее выходят за пределы данного материала.

Самоделкиным

Предположим, что мы забили на скрипты, написанные посторонними товарищами, и решили писать движок "с нуля”. Похвально. Работа закончена, критические ошибки исправлены, мастдайные баги пофиксены.... Что теперь? А теперь можно заняться отсечением хакеров уровнем повыше ставших притчей во языцех скрипткидди. Итак, вот несколько эффективных приёмов.

Скрытие языка программирования

Зачем хакеру знать, что наш сайт написан на PHP или Perl? Абсолютно незачем. Смело переименовываем скрипты и даём им расширение .asp, а затем соответственно настраиваем сервер на обработку .asp файлов как Pl/php. Позволит отсечь часть нетерпеливых скрипткиддисов уже на первом посещении.

Скрытие структуры сайта

Будем считать, что сердцем нашего сайта является файл index.pl, лежащий в корне. Ему передаются два параметра: cat (раздел) и id (идентификатор документа). Например, вот URL одной страницы: http://megasite.ru/index.pl?cat=news&id=777. Прибегнем к помощи Mod Rewrite, модуля апача, который установлен на многих хостингах, даже на очень дешёвеньких. Открываем/создаём файл .htaccess, и в нем прописываем следующие строчки:

RewriteEngine On
RewriteRule ^ ([a-zA-Z]+)/ ([0-9]+).html index.pl?cat=$1;id=$2
RewriteRule ^ ([a-zA-Z]+) index.pl?cat=$1

Тадам, теперь эта страница отзовётся по адресу http://megasite.ru/news/777.html, а индекс новостей будет отзываться по запросу http://megasite.ru/news. Пусть наивный атакующий считает, что сайт состоит из хтмл-страниц и ищет админку. Можно, ради веселья, замаскировать свой движок под какую-нибудь известную CMS. Пусть скрипткидди попотеют :) Ещё одним плюсом такого похода является отсечение кривых идентификаторов типа " ’1 ” и "../../” уже на уровне запроса, до старта выполнения.

NB: не стоит забывать о фильтрации такой бяки и внутри скрипта. Может статься, что его настоящий адрес станет известен, и тут уже Mod Rewrite не спасёт, если не оградить скрипт от прямых запросов через тот же модуль.

Разберём структуру внесённых в .htaccess строчек. В первой задаётся включение механизма переписывания URL. Во второй и третьей с помощью регулярных выражений разбирается строка запроса и переписывается адрес. Я думаю, тут не возникнет проблем. Если регэкспы для тебя тёмный лес, советую прочитать замечательную книгу "Mastering Regular Expressions” от издательства O’Reilly. Она лежит в Сети в виде chm-файла и переведена на русский. Простор для деятельности тут огромный и ограничивается только нашей фантазией.

Для полноты картины посмотри, какие точно заголовки сервер возвращает при обращении к настоящей .html странице, и синхронизируй с ними заголовки, выдающиеся скриптом. Как говорится, чтоб никто не догадался :)

Скрытие ошибок

Хакеры частенько насилуют скрипты кривыми запросами, дабы вызвать ошибки. В них порой можно встретить необходимую для взлома информацию. Часто видел в чужих скриптах такие строчки:

open (FILE, $file) || die ("Не открыть файл $file”);

Безусловно, сие очень удобно при поиске ошибок и отладке. Но зачем, скажите мне, атакующему знать структуру сервера, и имя файла, который бедный скрипт не в состоянии прочитать? Ага. Мы пойдём другой тропинкой. Все die мы заменим на fat_err("текст_ошибки $!”), а в теле этой функции напишем следующее:

sub fat_error{
$localtime = localtime(); #создаём код ошибки
#начинаем определение айпишника
$user_ip = $ENV{'REMOTE_ADDR'};
if ($user_ip eq "127.0.0.1")
{
if ($ENV{'HTTP_CLIENT_IP'} && $ENV{'HTTP_CLIENT_IP'} ne "127.0.0.1") {$user_ip = $ENV{'HTTP_CLIENT_IP'};}
elsif ($ENV{'X_CLIENT_IP'} && $ENV{'X_CLIENT_IP'} ne "127.0.0.1") {$user_ip = $ENV{'X_CLIENT_IP'};}
elsif ($ENV{'HTTP_X_FORWARDED_FOR'} && $ENV{'HTTP_X_FORWARDED_FOR'} ne "127.0.0.1") {$user_ip = $ENV{'HTTP_X_FORWARDED_FOR'};}
}
open (LOG, "log.txt”); #открываем лог-файл
print LOG "$localtime - $user_ip - $_[0] \n----------------------------------------\n”; #пишем туда код, айпишник и текст ошибки
close (LOG); #закрываем файл
print "Вы вызвали ошибку скрипта! Обратитесь к программисту, указав код $localtime”;
die; #умираем со спокойной душой
}

Таким образом, сообщение об ошибке для пользователя будет содержать лишь код этой ошибки, сформированный функцией localtime. Добропорядочный юзер сообщит нам о ней, а мы откроем лог-файл и по коду расшифруем её текст, а заодно узнаем айпишник юзера.

Это, как вы понимаете, простейший пример реализации. Можно ещё подкинуть незадачливому взломщику дезинформацию: например, заменить сообщения о невозможности открытия файла сообщениями MySQL. Пусть пытается найти SQL Injection ;) Тут всё опять же ограничивается только фантазией. Экспериментируйте, направление я вам дал.

Режекция непредвиденных фатальных ошибок

"Но ведь то die! А как быть с непредвиденными ошибками?!” – воскликнет вдумчивый читатель, и будет абсолютно прав. Казалось бы, все ошибки отследить нереально: там деление на нуль, тут неверный метод, там вызывается несуществующая функция, тут заглючил Image::Magick... Все эти, и ещё десять тысяч других ошибок, приведут к аварийному завершению работы. Что делать? На помощь приходит блок eval.

Он знаменателен тем, что любой код, заключённый в него, не вызовет фатальную ошибку скрипта. Даже если там будет синтаксическая ошибка! Поэтому некоторые разработчики, в том числе и я, заключают практически весь код в eval.

Для примера возьмём такой код:

print "start”;
eval {&main;}
print "end”;
sub main {$s=5/0; tyt kucha sintaksicheskih oshibok;}

Он, как ни странно, выполнится! И "end” напечатает. При этом в переменной $@ будет содержаться ошибка, из-за которой остановится выполнение eval.

Ошибку мы нашли, а дальше действуем как в прошлом пункте: скрываем её, или пропускаем через фильтр регулярных выражений и пускаем дезинформацию.

Защита от брутфорса

Брутфорс – автоматический перебор паролей. Крайне желательно ввести в базу данных дополнительное поле, в котором будут считаться все попытки зайти с неверным паролём. Как только число в поле превысит, скажем, отметку "10”, аккаунт просто блокируется до выяснения (такой алгоритм, например, используют для защиты sim-карты твоего мобильного телефона). Казалось бы, это очевидно и легко реализуемо парой строчек кода. Всё верно, однако попробуй посчитать количество движков с подобной фишкой. Результат тебя удивит.

Ещё несколько полезных советов

Запомни одну простую вещь, о которой забывают многие программисты. Чем меньше данных мы принимаем от пользователя, тем лучше. Рассмотрим простейший пример: сайт со статьями. Всё, что нам нужно принять от пользователя – это номер статьи. Раздел, и тот можно вытащить из базы.

fat_error() if $query =~ /\D/;

В данной статье пойдет речь о нестандартном использовании PHP: для создания сжимающего трафик PHP-скрипта, который можно использовать в качестве виртуального прокси-сервера. Профессионалы PHP-фронта здесь вряд ли найдут что-то новое: такое применение php не мое ноу-хау и никаких особых функций php не используется. Остальные в этой статье узнают о новом способе экономии кило-мега-гигабайтов во время веб-серфинга. Не удивлюсь, если кто-то предприимчивый, прочитав эту статью, начнет уже завтра экономить свои мегабайты. Особенно после того, как узнает, каким образом можно построить схему прозрачной работы этой виртуальной прокси.

На заре моей диалап-юности модемы обменивались сжатыми данными, из-за чего конечная скорость веб-серфинга была выше в сравнении со скачиванием zip-архива. Таким образом экономились время и деньги клиента за счет нагрузки на процессоры модемов во время компрессии. Настали другие времена: диалап постепенно сдает свои позиции под натиском выделенных линий. А тут уже ни о каком сжатии трафика на чьих-либо процессорных мощностях речи не ведется как правило: трафик идет в своем первозданном виде, ни на байтик не сжат (если этим не озаботились на стороне сервера). А ведь его можно сжать!..

Для этого нам понадобится еще одно звено между браузером и веб-сервером, которое, как модем, будет сжимать весь входящий (входящий для браузера) трафик. Звеном этим будет являться обычный с виду php-скрипт на удаленном веб-сервере. Именно этот скрипт в ответ на специально составленный запрос и будет скачивать необходимую вам страницу и уже в сжатом виде отдавать ее браузеру. Основные требования к хостингу, на котором расположен этот php-скрипт: отсутствие баннеров хостера, возможность использования CURL и GZIP (проверить их доступность можно запуском скрипта с вызовом функции phpinfo).

Чтобы лучше понять механизм работы системы промежуточного сжатия трафика, рассмотрим более подробно технологию ее работы.

2. Получение браузером страницы из сети

2.1. Обычный вызов

Допустим пользователя заинтересовала страница page.html на сервере site.com . Он набирает URL site.com/page.html в строке адреса. Браузер после этого производит по сети http-запрос страницы http://site.com/page.html (на рисунке - тонкая пунктирная стрелка, первая слева). В ответ на этот запрос веб-сервер site.com выдает http-ответ браузеру и следом за ним тело страницы page.html (на рисунке – жирная стрелка, вторая слева). После этого браузер отображает пользователю на экране монитора содержимое полученной страницы.

2.2. Сжатие данных на промежуточном сервере

Введем промежуточный сервер webzip.com между браузером и веб-сервером site.com, на котором будет происходить сжатие данных. Алгоритм получения страницы page.html такой же, как и в предыдущем случае за исключением того, что браузер запрашивает страницу не непосредственно у site.com, а через webzip.com. Причем полноразмерные (несжатые данные) идут только между site.com и webzip.com, между браузером и webzip.com тело страницы идет в сжатом виде (на рисунке - жирная пунктирная стрелка, третья слева). Заметим, что по причине использования возможностей php для сжатия страницы её адрес, запрашиваемый браузером, примет вид http://webzip.com/myzip.php?url=http://site.com/page.html. Веб-сервер (webzip.com), получив этот запрос, вызывает скрипт myzip.php, а тот в свою очередь по get-параметру (пусть им будет параметр с именем «url») вызова производит запрос на http://site.com/page.html. Полученную страницу скрипт myzip.php отдает браузеру в сжатом виде.

2.3. Прозрачная работа со сжатием страницы на промежуточном сервере

От предыдущего случая данный отличается тем, что работа виртуальной сжимающей прокси для браузера, а соответственно и пользователя, не видны. Достигается это за счет введения еще одного звена, между webzip.com и браузером. Этим звеном является обычный http-прокси, который помимо всего прочего занимается переписыванием исходящих заголовков http-запросов (например, с http://site.com/page.html на http://webzip.com/myzip.php?url=http://site.com/page.html). 

3. Настройка прозрачной работы

3.1. Установка скриптов

Скачать скрипты, которые реализуют все вышеописанное, можно здесь. В архиве три файла: myzip.php, func.inc.php, log.php. Первый – основной файл, к которому обращается клиент. Второй – содержит определения функций для первого. Третий – предназначен для отображения статистики работы прокси (содержит шаблон страницы статистики, суть берется из файлов log.log и count.log).

Как уже было сказано ранее, разместить скрипты следует на любом хостинге, где есть поддержка PHP, CURL, ZLIB и отсутствуют банеры. В интернете такое можно без труда найти за 30 рублей в месяц. 

Не пугайтесь платности хостинга – он с легкостью будет окупаться. Например, если вы платите 0.05 $/МБ - потребуется 20 сэкономленных мегабайт для оплаты хостинга, дальше выгода. По моему опыту это порядка 100-150 МБ веб-серфинга (среднее сжатие – в 4-7 раз, хотя встречается и до 12).

Проверить правильность работы можно, набрав в браузере следующий адрес: http://webzip.com/myzip.php?url=http://ya.ru. Если всё сделано правильно – загрузится страница яндекса с немного видоизмененным заголовком (title).

3.2. Настройка Proxomitron-а

Использовался Proxomitron ver. Naoko 4.4 (http://www.proxomitron.ru). 

Итак, мы хотим добиться от проксомитрона возможности прозрачной работы с веб-проксей, иными словами скрытое преобразование исходящих URL-ов от браузера. Для этого в главном окне проксомитрона нажимаем клавишу «Заголовки» («Headers»). В открывшемся окне («Фильтры заголовков HTTP» / «HTTP Header Filters») пролистываем до строки «URL: Alias Redirector (Out)», выделяем ее. Жмем кнопку «Изменить» («Edit»), в развернувшемся окне («Редактор фильтров заголовка» / «HTTP Header filter editor») заполняем поля следующим образом (все, кроме первого):

Заголовок HTTP (HTTP Header) (!не меняем!) URL: Alias Redirector (Out)
Совпадение с URL (URL Match) *
Значение заголовка (Header Value Match) *
Текст замены (Replacement text) $RDIR(http://webzip.com/myzip.php?url=\u)
Где http://webzip.com/ - URL вашего сайта, myzip.php – имя скрипта, который вы закачали на сайт.

Вся суть в последней строке: проксомитрон будет менять любой URL (параметр «\u») от браузера на http://webzip.com/myzip.php?url=\u. Если написать вместо $RDIR команду $JUMP, то работа проксомитрона будет полупрозрачной: браузер будет просто перенаправляться на новый URL. В случае использования $RDIR – перенаправление будет происходить незаметно для браузера.

Закрываем окна, нажимая последовательно «Ок», «Применить» («Apply»), «Ок». Если есть желание не повторять эту процедуру снова – сохраните настройки.

В браузере прописываем прокси сервер с IP=127.0.0.1 и портом 8080 (порт, прослушиваемый проксомитроном по умолчанию). Убедиться в том, что система сжатия трафика работает, можно всё так же - по изменяющимся заголовкам страниц (новый <title> слева направо: исходный и переданный браузеру размер страницы в байтах, коэффициент сжатия, использование куков, get, post параметров, время генерации страницы в секундах, исходный заголовок). 

Поделюсь радостью - у меня даже аська заработала сквозь проксомитрон.

4. Тестовая экономия

Настроив проксомитрон, решил выразить в цифрах новую работающую систему. Далее следует что-то вроде протокола 15-ти минут ускоренного веб-серфинга. 

Проверил через веб-интерфейс почту на mail.ru: главная страница – уже 39 кБ экономии; вошел в ящик – уже 60 кБ; побегал по папкам, посмотрел почту; вышел - уже 300 кБ экономии. Задал парочку запросов яндексу – на выходе 570 кБ. Отправил три смски (Мегафон, Билайн, МТС). Походил по форумам на sql.ru и rsdn.ru. Поискал в гугл парочку абракадр. Смотрю на счетчик - итого два мегабайта экономии . Вроде бы пустячок, но это всего лишь час обычной работы. Что же получится у вас за месяц работы? Копейка рубль бережет.

5. Итого

Сразу предупрежу, что хостеры не очень приветствуют создание на их стороне чего-либо проксо-подобного. Используйте скрипт на свой страх и риск, отвечать вам. Однако, если вы не устраиваете публичной прокси с многогигабайтным трафиком, то вряд ли они заметят 200-500 МБ на скрипте – для них это капля в море. К тому же, если встроить скрипт сжатия в другую страницу, то заметить подвох хостеру будет еще сложнее. Она внешне (без вызова с нужным параметром «url») будет представлять собой обыкновенную домашнюю страницу. Хотя при особом желании провайдер и эту уловку обнаружит, но шанс мал. Ну, а если и обнаружит – скажете, что ваш сайт сломали и «невиноватые мы». В самом худшем случае придется сменить хостера (или аккаунт у прежнего :)).

Не рекомендую использовать подобную проксю для доступа к очень секретной информации, поскольку все логины-пароли идут сквозь хостера и без труда будут перехвачены при его желании. Однако, в случае применения HTTPS не всё так просто для подлого хостера. Несмотря на некоторую долю «неанонимности» использования технологии ее можно использовать для легкого хака (легкого, то есть вас не будут искать ФСБешники в случае обнаружения атаки). Например, анонимно побаловаться с обработкой вводимых параметров на сайте одногруппника.

Ajax, состоящий из HTML, технологии JavaScript, DHTML и DOM, это замечательный подход, который помогает вам преобразовать тяжеловесные Web-интерфейсы в интерактивные Ajax-приложения. Автор, эксперт по Ajax, демонстрирует совместную работу этих технологий (от общего обзора до детального изучения), цель которой – сделать чрезвычайно эффективную Web-разработку повседневной реальностью. Он также раскрывает основные концепции Ajax, включая объект XMLHttpRequest.

Пять лет назад вы были гадким утенком (с которым никто не разговаривал), если не знали XML. Восемнадцать месяцев назад в центре внимания оказался Ruby, а программисты, не знающие что с ним происходит, не были приглашены к бачку с охлажденной водой. Сегодня, если вы хотите попасть на технологическую вечеринку, нужен Ajax.

Однако, Ajax – это далеко не чья-то прихоть, а мощный подход к созданию Web-сайтов, который не так трудно изучить, как полностью новый язык.

Перед тем, как я погружусь в детали Ajax, давайте потратим пару минут на осмысление того, что же делает Ajax. Когда в наше время вы пишете приложение, у вас есть два основных варианта:

• Настольные приложения
• Web-приложения

Оба варианта знакомы; настольные приложения обычно поставляются на CD (или иногда загружаются с Web-сайта) и устанавливаются целиком на вашем компьютере. Они могут использовать Интернет для загрузки обновлений, но код, выполняющий эти приложения, размещен на вашем рабочем столе. Web-приложения (и это не удивительно) работают где-то на Web-сервере, а вы обращаетесь к этим приложениям через ваш Web-браузер.

Более важным является то, что от того, где выполняется код этих приложений, зависит их поведение и способ вашего взаимодействия с ними. Настольные приложения обычно достаточно быстрые (они работают на вашем компьютере; вы не ждете интернет-подключения), имеют отличные пользовательские интерфейсы (обычно взаимодействующие с вашей операционной системой) и невероятно динамичны. Вы можете щелкать мышкой, вводить текст, пользоваться ниспадающими и всплывающими меню, перемещаться по окнам практически без каких-либо задержек.

С другой стороны, Web-приложения обычно самые свежие по времени и предоставляют возможности, которые вы никогда бы не смогли иметь на вашем компьютере (вспомните Amazon.com и eBay). Однако с могуществом Web приходит ожидание – ожидание ответа от сервера, ожидание обновления экрана, ожидание ответа на запрос и генерирования новой страницы.

Ясно, что все это упрощение, но вы получили общее представление. Как вы, возможно, уже подозреваете, Ajax пытается преодолеть разрыв между функциональностью и интерактивностью настольного приложения и всегда обновленным Web-приложением. Вы можете использовать динамические пользовательские интерфейсы, аналогичные имеющимся в настольном приложении, но доступные в Web-приложении.

Так чего же мы ждем? Начнем рассмотрение Ajax и способов превращения ваших неуклюжих Web-интерфейсов в чувствительные Ajax-приложения.

Старая технология, новые хитрости

Что касается Ajax, то реальность такова, что он охватывает много технологий – для его освоения необходимо углубиться в несколько различных технологий (вот почему я разобью на независимые части первые несколько статей из этой серии). Хорошей новостью является то, что вы, возможно, уже знаете достаточно о многих из этих технологий – большинство из этих индивидуальных технологий изучаются легко (определенно не так трудно, как язык программирования полностью, например Java или Ruby).

Определение Ajax Между прочим, Ajax – это аббревиатура от Asynchronous JavaScript and XML (и DHTML, и т.д.). Фраза была придумана Джессе Джеймсом Гарретом из Adaptive Path и, по словам Джессе, не предназначалась быть аббревиатурой.

Вот основные технологии, вовлеченные в Ajax-приложения:

• HTML используется для создания Web-форм и указания полей для использования в вашем приложении.
• JavaScript-код – это основной код, выполняющий Ajax-приложения и обеспечивающий взаимодействие с серверными приложениями.
• DHTML, или Dynamic HTML, помогает динамически обновлять формы. Вы будете использовать div, span и другие динамические HTML-элементы для разметки вашего HTML.
• DOM, Document Object Model (объектная модель документов), будет использоваться (через код JavaScript) для работы и со структурой вашего HTML, и (в некоторых случаях) с XML, полученным от сервера.

Рассмотрим все это по отдельности и разберемся в том, что делает каждая из этих технологий. Я исследую каждую из них в следующих статьях; сейчас просто познакомимся поближе с этими компонентами и технологиями. Чем больше вы знаете о них, тем легче перейти от бессистемных знаний к освоению каждой из них (и действительно улучшить процесс разработки Web-приложений).

Объект XMLHttpRequest

Первый объект, о котором вы хотите узнать, возможно, самый новый для вас; он называется XMLHttpRequest. Это объект JavaScript, и он создается так же просто, как показано в листинге 1.

 
<script language="javascript" type="text/javascript">
var xmlHttp = new XMLHttpRequest();
</script>

Я детально расскажу об этом объекте в следующей статье, а сейчас осознайте, что это объект, который управляет всем вашим взаимодействием с сервером. Прежде чем идти дальше, остановитесь и подумайте об этом – это технология JavaScript в объекте XMLHttpRequest, который общается с сервером. Это не обычный ход работы приложения, и именно здесь заключается почти вся магия Ajax.

В нормальных Web-приложениях пользователи заполняют поля форм и нажимают кнопку Submit (подтвердить). Затем форма передается на сервер полностью, сервер обрабатывает сценарий (обычно PHP или Java, возможно, CGI-процесс или что-то в этом роде), а потом передает назад всю новую страницу. Эта страница может быть HTML-страницей с новой формой с некоторыми заполненными данными, либо страницей подтверждения, либо, возможно, страницей с какими-то выбранными вариантами, зависящими от введенных в оригинальную форму данных. Естественно, пока сценарий или программа на сервере не обработается и не возвратится новая форма, пользователи должны ждать. Их экраны очистятся и будут перерисовываться по мере поступления новых данных от сервера. Вот где проявляется низкая интерактивность – пользователи не получают немедленной обратной реакции и определенно чувствуют себя не так, как при работе с настольными приложениями.

Ajax по существу помещает технологию JavaScript и объект XMLHttpRequest между вашей Web-формой и сервером. Когда пользователи заполняют формы, данные передаются в какой-то JavaScript-код, а не прямо на сервер. Вместо этого JavaScript-код собирает данные формы и передает запрос на сервер. Пока это происходит, форма на экране пользователя не мелькает, не мигает, не исчезает и не блокируется. Другими словами, код JavaScript передает запрос в фоновом режиме; пользователь даже не замечает, что происходит запрос на сервер. Более того, запрос передается асинхронно, а это означает, что ваш JavaScript-код (и пользователь) не ожидают ответа сервера. То есть, пользователи могут продолжать вводить данные, прокручивать страницу и работать с приложением.

Затем сервер передает данные обратно в ваш JavaScript-код (все еще находящийся в вашей Web-форме), который решает, что делать с данными. Он может обновить поля формы "на лету", придавая свойство немедленности вашему приложению – пользователи получают новые данные без подтверждения или обновления их форм. JavaScript-код может даже получить данные, выполнить какие-либо вычисления и передать еще один запрос, и все это без вмешательства пользователя! В этом заключается мощь XMLHttpRequest. Он может общаться с сервером по своему желанию, а пользователь даже не догадывается о том, что происходит на самом деле. В результате мы получаем динамичность, чувствительность, высокую интерактивность настольного приложения вместе со всеми возможностями интернет.

Добавление JavaScript-кода

После того, как вы разберетесь с XMLHttpRequest, оставшийся JavaScript-код превращается в рутинную работу. Фактически, вы будете использовать JavaScript-код для небольшого числа основных задач:

getenv("REMOTE_ADDR") - возвращает IP пользователя;
getenv("HTTP_USER_AGENT") - возвращает тип браузера;
getenv("REMOTE_PORT") - возвращает удаленный порт;

$get_time = date("d.m.Y (H:i:s)", time());
$get_ip = getenv("REMOTE_ADDR");
$get_browser = getenv("HTTP_USER_AGENT");
$get_port = getenv("REMOTE_PORT");
$get_connect = $_SERVER['HTTP_CONNECTION'];
$get_host = gethostbyaddr(getenv("REMOTE_ADDR"));
$get_referer = @$_SERVER['HTTP_REFERER'];

$fopen = fopen ("logs.txt", "a+");
fputs ($fopen, "\r\n ---------- Detected at $get_time-------------- 
\r\n");
fputs ($fopen, "IP: \t $get_ip \r\n");
fputs ($fopen, "Browser: \t $get_browser \r\n");
fputs ($fopen, "Port: \t $get_port \r\n");
fputs ($fopen, "Host: \t $get_host \r\n");
fputs ($fopen, "Connection: \t $get_connect \r\n");
fputs ($fopen, "Referer: \t $get_referer \r\n");
fclose ($fopen);

?>

screen.width - ширина экрана (в пикселях)
screen.height - высота экрана (в пикселях)
screen.colorDepth - глубина цвета экрана (в битах)
navigator.platform - платформа браузера

print "

";
?>

$fopen = fopen ("logs.txt", "a+");
foreach ($_GET as $key => $value)
{
fputs ($fopen, "$key \t $value\r\n");
}

fclose ($fopen);
?>

Эта статья может быть полезна тем, кто пишет программу, работающую с HTTP. При запросе какого либо документа сервер выдает служебную информацию, которую просто необходимо анализировать для дальнейшей работы. Самой первой строкой сервер возвращает так называемый код ответа, являющийся числом в диапазоне 100-599 и определяющий результат запроса. Эти коды распределены по следующим группам:

100-199 :: Информационный код.
200-299 :: Успешный запрос клиента.
300-399 :: Переадресация запроса клиента.
400-499 :: Ошибочный запрос.
500-599 :: Ошибка сервера.

Рассмотрим эти группы поподробнее:

Информационный Ответ. Коды 100-199.
Указывает на то, что идет обработка запроса клиента.

100 Continue. Возможно продолжение запроса клиента.

101 Switching Protocols. Сервер использует запрос клиента для переключения протоколов.

Успешный Запрос Клиента. Коды 200-299.
Запрос клиента успешен, возможно продолжение работы.

200 ОК. Запрос успешен, сервер возвращает запрошенный документ.

201 Created. Сервер создает новый ресурс. Обычно является результатом запроса PUT.

202 Accepted.  Запрос клиента принят.

203 Non-Authoritative Information.  Информация в заголовке объекта предоставлена не сервером.

204 No Content.Запрос успешен, но в ответе отсутствует контент.

205 Reset Content.Программа просмотра должна очистить форму, используемую для этой транзакции для дополнительного ввода.

206 Partial Content.Сервер не может возвратить всю запрошенную информацию.

Переадресация Запроса Клиента. Коды 300-399.
Запрос не был выполнен, необходимо обратиться к другому ресурсу для его выполнения.

300 Multiple Choices.  Требуемый URL обращается больше чем к одному ресурсу (документ на множественных языках).

301 Moved Permanently.  Требуемый URL не правилен для этого сервера, и произошла ошибка. Сервер также посылает заголовок местоположения, где ресурс теперь расположен и где клиент должен указать его в будущем.

302 Moved Temporarily.  Требуемый URL не правилен для сервера, и произошла ошибка. Сервер также посылает заголовок местоположения, где временно расположен ресурс и сообщение, что сервер должен использовать это местоположение только для этого запроса.

303 See Other.  Требуемый URL может быть найден в отличном URL (указанным в заголовке Location) и должен быть запрошен методом GET на том ресурсе.

304 Not Modified.   Этот код возвращается сервером на запрос "If-Modified-Since" в том случае, если запрошенный документ не изменился. Тогда программа просмотра использует его кэшированную копию.

305 Use Proxy.  Требуемый URL должен пройти указанный прокси.

Ошибочный Запрос Клиента. Коды 400-499.
Запрос клиента не может выполниться, так как содержит ошибки.

400 Bad Request.  В запросе клиента обнаружена синтаксическая ошибка.

401 Unauthorized.  Для доступа к запрошенному URL необходима авторизация, а в запросе отсутствует опознавательная информация.

402 Payment Required.   не используется.

403 Forbidden.   Доступ к запрошенному ресурсу запрещен.

404 Not Found.   Запрошенный документ не существует.

405 Method Not Allowed.   Метод запроса не поддерживается запрошенным URL. 

406 Not Acceptable.   Ресурс, запрошенный клиентом, существует, но не в требуемом формате. Это может быть заданный язык или тип содержания.

407 Proxy Authentication Required.  Прокси-сервер должен разрешить запрос перед его выполнением.

408 Request Time-out.  Соединение будет разорвано сервером.

409 Conflict.  Запрос находится в противоречии с другим запросом или с конфигурацией сервера.

410 Gone.   Этот код указывает, что требуемый URL больше не существует и  удален с сервера.

411 Length Required.   Для выполнения запроса необходимо указать параметр Content-Length.

412 Precondition Failed.   Предварительное условие не выполняется.

413 Request Entity Too Large.   Сервер не может обработать запрос, потому что тело его объекта слишком велико.

414 Request-URL Too Long.   Сервер не может обработать запрос, потому что запрошенный URL слишком длинный.

415 Unsupported Media Type.  Сервер не может обработать запрос, потому что формат тела его объекта не поддерживается.

Ошибка Сервера. Коды 500-599.
Запрос клиента вызвал ошибку на сервера.

500 Internal Server Error.  Запрос вызвал внутреннюю ошибку сервера.

501 Not Implemented.   Запрошенное клиентом действие не может быть выполнено сервером.

502 Bad Gateway.   Сервер получил недопустимый ответ от другого сервера.

503 Service Unavailable.   Запрошенная служба в данный момент недоступна.

504 Gateway Time-out.  Разорвана связь со шлюзом или прокси-сервером.

505 HTTP Version not supported.   Сервер не поддерживает версию HTTP протокола, используемого в запросе.