Создание безопасного компонента для jomla 2.5

@Aeliot · Регистрация: 17.11.2011

Author24 — интернет-сервис помощи студентам

Добрый день форумчане.
Озадачился я вопросом о безопасности создаваемого компонента.
Поиск по форуму ни чего не дал.
Такое ощущение, что либо joomla и безопасность понятия не совместимые, либо у всех всё на столько замечательно с безопасностью, что вопросов они не задают.

Предлагаю всем в этой ветке поделиться наработками и замечаниями по созданию безопасного компонента.

Начну с того что имею.
По мере поступления инфы так же буду отписываться.

Естественно мы ограничиваем доступ к php файлам из вне. Для этого все файлы начинаются со строк

PHP

1
2
3

<?php
// no direct access
defined('_JEXEC') or die;

Дальше, что приходит в голову, это ограничить возможность создания и редактирования материалов в компоненте. Для этого в шаблоне вывода данных (layout) выводим "токен"

PHP

1	<?php echo JHtml::_('form.token'); ?>

а в контроллере обрабатывает его. Например, функция save() будет у нас начинаться со строк

PHP

1 2	// Check for request forgeries. JSession::checkToken() or jexit(JText::_('JINVALID_TOKEN'));

и если проверка не пройдена, то полностью останавливаем joomla.

Но как быть с отображением информации в компоненте?
Даже если не создан пункт меню или он не отображается пользователю с его правами доступа, то достаточно набрать в браузере что-то такое:
http:// mysite.domen/index.php?option=com_mycomponent&view=myview
и ву-а-ля... Пользователь видит то, что мы не хотели бы показывать ему.
Как с этим бороться?

Я, например, сделал вот что.
Функция getListQuery() модели начинается с такой конструкции:

PHP

// получаем объект пользователя
$user = JFactory::getUser();
// проверяем если "гость", то просим авторизоваться
if($user->get('guest')) {jexit('Please autorise!'); }
// если прошёл первую проверку, то проверяем определённые права пользователя. 
// В случае чего предупреждаем, что ещё "нос не дорос".
if (!$user->authorise('core.edit.state', 'com_mycomponent')){jexit('You have no access!');}

Мера получилась довольно эффективная.
Тем не менее, я рассматриваю это решение как костыль.
Не хотелось бы делать проверки по принципу "во всех местах и побольше".

Может кто ещё чем поделится.

	05.02.2013, 23:38