Nybörjarfrågor om XML

1. Säkerheten har egentligen ingenting med din XML-fil att göra. Saker som lösenord och liknande skall sparas på ett från utsidan oåtkomligt ställe, exempelvis en databas eller i en katalogstruktur som inte går att accessa externt. XML-filen skall enbart användas för att specifiera publik data, åtminstone så länge den måste vara direkt åtkombar av ett klientsystem (t ex om du bygger en AJAX-lösning).

2. Detta är också ett logiskt programmeringsproblem. Om du har en solid XML-struktur så ska det vara upp till ditt program att presentera den på lämpligt vis. Vill du att din applikation ska visa flera av de telefonnummer som hör en nod till så får du se till att javascriptet är kompatibelt med ett eller flera telefonnummer helt enkelt; hur du väljer att strukturera eller namnge noder i XML-filen är oviktigt (så länge du gör rätt rent syntaktiskt naturligtvis )

3. Jag är lite vilsen på detta plan men har för mig att XPath används för att göra kriteriebaserade sökningar på nodnamn. XML DOM används väl för att bygga eller förändra själva XML-dokumentet.

Det borde faktiskt inte vara omöjligt. Du skulle t ex kunna ha ett PHP-system som kontrollerar ifall en användare är inloggad och automatiskt skickar vidare användaren. Det kan vara så enkelt som att du har en katalogstruktur där du lägger en .htaccess-fil med access deny tillsammans med XML-filen. XML-filen kan sedan kommas åt genom serveranrop i PHP.

Visst skulle en rekursiv funktion fungera här, fast det är inget krav. Du skulle kunna parsa XML-filen till en stor Array och helt enkelt iterera över den från start till slut. Gör det som känns bäst

XML-filen ska precis som du tror enbart innehålla XML. Vad jag menade var att ett PHP-skript kan "hämta" datafilen ur en från webben oåtkomlig katalog och skicka den till klienten.
Om du inte är beroende av en AJAX-lösning med allt vad det innebär så tycker jag definitivt att du ska lösa problemet i PHP. Då hade du även kunnat ha känslig data i din XML-fil utan större problem, iom att din PHP-kod avgör vad som skickas till klienten.

Det som skickas till klienten ska enbart innehålla XML men på serversidan kan du mycket väl ha PHP-kod i den.

Antingen döper du om dina XMP-filer till PHP så att webservern kör dom via PHP eller så säger du åt webservern att XML-filer också ska köras genom PHP.

Kör XML-filer genom att skapa en .htaccess-fil för Apache

AddType application/x-httpd-php .xml

Stoppa in lite PHP-kod i XML-filen (övrig text från Sweclockers RSS)

<item>
	<title><![CDATA[Fractal Desing Define R2]]></title>
	<link><![CDATA[http://www.sweclockers.com/forum/showthread.php?threadid=8827...]]></link>
	<pubDate><?=date()?></pubDate>
	<description>Chassin och nätaggregat</description>
</item>

Du kan alltså högst upp i dina XML-filer kolla så att användaren är inloggad.

Men gör inte det för guds skull. Då kan du lika gärna trycka in datan i en statisk array och strunta i allt vad XML heter.

Det är väldigt viktigt att förtydliga skillnaderna mellan dynamiskt genererade sidor (exempelvis PHP, JSP/Servlets, CGI) och av användaren dynamiskt efterfrågad data (AJAX). AJAX == Asynchronous Javascript And XML.
När en användare surfar in på en hemsida så skickas flera förfrågningar (HTTP-REQUESTs) till deras webserver för att ladda bland annat HTML och bilder. När användaren sedan klickar på en länk på sidan så repeteras processen.

Låt oss, för att ta ett fånigt exempel, säga att vi har en site med dikter där varje sida representerar ett verk. Skillnaden mellan RosorArRoda.html och KattenMusen10000.html är väldigt liten; menyer och grafiska element är identiska, det enda som skiljer dem åt är själva textinnehållet. Ändå måste flera nya förfrågningar göras mot webservern vid klicket på länken. Det är här AJAX kommer in i bilden.
Med AJAX är det möjligt att låta klienten efterfråga en specifik bit information på servern: När användaren klickar på länken så körs ett javascript. Scriptet gör en XMLHttpRequest mot ett PHP-script som returnerar en paragraf innehållande poesistycket. Javascriptet för sedan in denna information på rätt plats i den redan existerande hemsidestrukturen. Ett bra exempel är siten prisjakt.nu där AJAX används för att dynamiskt visa förslag medan användaren skriver i sökfältet. Läs mer här om du är nyfiken: http://sv.wikipedia.org/wiki/XMLHttpRequest

AJAX kommer med vissa brasklappar och är inte en nödvändighet. Om du exempelvis "bara" vill bearbeta XML-data och visa upp resultatet för en användare så gör du det server side. Detta innebär även som tidigare sagts att du kan gömma ditt XML-dokument från användaren eftersom denna aldrig kommer i direkt kontakt med det; dokumentet laddas överhuvudtaget inte ner; faktum är att du lika gärna kan ha en databas eller ren textfil som datakälla utan att användaren på något sätt märker skillnad.

Är man olidligt lat kan man ju döpa filen till något i stil med "Xsfdshgfsdkjhfgfdyu311414786fgf.kld" och se det so ett relativt säkert lösenord. Och sen aldrig exponera det filnamnet utåt utan alltid skicka XML-datan via auth-PHP-scriptet. Någon säger sägert att det är security by obscurity men så länge filnamnets säkerhet överstiger det krav som ställs för inloggningens säkerhet så ser jag inget problem i det annat än att det inte är en snygg lösning.

Som jag fattat det så ska ingen av filerna i katalogen läsas av någon besökare utan enbart av ett PHP-script (via exempelvis include)? du ska inte heller skicka vidare någon användare direkt till de filerna?

I din htaccess-fil kan du istället för att förbjuda browsande istället förbjuda hela katalogen genom att skriva detta:

deny from all

Även filer i den katalogen kommer då att vara oåtkomliga.