Tạo bởi Trần Văn Điêp|

Học PHP

[Video] Tạo web tin tức - PHP/MySQL

Xây dựng một trang báo online là bài toán thực tế thú vị cho bất kỳ lập trình viên đang học PHP. Trong hướng dẫn này, chúng ta sẽ cùng nhau đi qua các bước cần thiết để Tạo web tin tức - PHP/MySQL từ ý tưởng, thiết kế cơ sở dữ liệu, tới phần backend, frontend, tối ưu SEO và bảo mật. Mục tiêu không chỉ là làm cho trang “chạy được” mà còn là làm sao để hệ thống ổn định, dễ mở rộng và thân thiện với người đọc. (1)

Một dự án mẫu như vậy rất phù hợp cho khóa học PHP cơ bản vì nó bao quát nhiều khái niệm quan trọng: kết nối MySQL, CRUD (Create, Read, Update, Delete), phân trang, upload ảnh, hệ thống phân quyền admin, và tối ưu hóa hiệu năng. Ở mọi bước, bạn có thể áp dụng best-practice để giúp sản phẩm cuối cùng chuyên nghiệp hơn. Nếu bạn đang tìm cách học sâu về PHP và MySQL thực tế, đọc tiếp để nắm trọn quy trình thực hiện Tạo web tin tức - PHP/MySQL. (2)

Lên ý tưởng và phân tích yêu cầu

Trước khi code, phải biết rõ bạn sẽ xây gì. Một bài toán “Tạo web tin tức - PHP/MySQL” cơ bản nên đáp ứng các yêu cầu chính sau:

Người dùng có thể xem danh sách bài viết, chi tiết bài.
Admin có thể tạo, sửa, xóa bài viết và quản lý chuyên mục.
Hỗ trợ hình ảnh đại diện cho bài viết, tag, meta description cho SEO.
Phân trang, tìm kiếm và bộ lọc theo chuyên mục.

Việc phân tích yêu cầu giúp thiết kế database (bảng articles, categories, users, comments, tags) hợp lý. Xác định các tính năng có độ ưu tiên (MVP) để triển khai trước, ví dụ: đăng bài, hiển thị bài, trang chủ với bài nổi bật. Trong quá trình học, bạn có thể làm từng bước và tinh chỉnh theo feedback — cách này hợp lý khi thực hiện Tạo web tin tức - PHP/MySQL. (3)

Gợi ý chi tiết cho phần phân tích

Xác định đối tượng: độc giả, biên tập viên, quản trị viên.
Dự đoán lưu lượng: sẽ có bao nhiêu bài một ngày, bao nhiêu người đọc đồng thời?
Quyết định tính năng mở rộng: comment, rating, chia sẻ mạng xã hội, API cho mobile.
Lựa chọn stack: PHP thuần hay framework (Laravel), MySQL hay MariaDB.

Thiết kế cơ sở dữ liệu (Database design)

Thiết kế database đúng là nền tảng cho mọi hệ thống. Để Tạo web tin tức - PHP/MySQL, bạn nên tối giản bảng nhưng vẫn đủ quan hệ để mở rộng.

Bảng chính đề xuất

users (id, email, password_hash, fullname, role, created_at)
categories (id, name, slug)
articles (id, title, slug, content, excerpt, category_id, author_id, thumbnail, status, created_at, updated_at)
tags (id, name, slug)
article_tag (article_id, tag_id) - bảng liên kết nhiều-nhiều
comments (id, article_id, user_id, content, status, created_at)

Thiết kế nên có index cho cột tìm kiếm (title, slug), index cho category_id và author_id để truy vấn nhanh. Với các bảng lớn, bạn cần nghĩ tới phân mảnh (partition) hoặc lưu trữ theo ngày để truy vấn lịch sử. Thực hành thiết kế giúp bạn hiểu tầm quan trọng của schema khi làm bài Tạo web tin tức - PHP/MySQL. (4)

Mẹo nhỏ

Luôn dùng INT cho id với AUTO_INCREMENT.
Lưu slug cho SEO-friendly URL.
Lưu excerpt để hiển thị tóm tắt nhanh ở trang chủ.

Xây dựng backend với PHP và kết nối MySQL

Phần backend chịu trách nhiệm CRUD với MySQL. Bạn có thể dùng MySQLi hoặc PDO; khuyến nghị sử dụng PDO vì tính linh hoạt và hỗ trợ prepared statements giúp bảo mật.

Các bước chính

Tạo file cấu hình config.php chứa thông tin DB.
Viết lớp DB (dbhelper) để kết nối, chạy truy vấn và trả dữ liệu (fetch, fetchOne, execute).
Tạo model đơn giản (hoặc repository) cho Article, User, Category.
Xây dựng controller xử lý request cho các hành động: list, create, update, delete.

Ví dụ mẫu kết nối PDO:


$dsn = "mysql:host=localhost;dbname=newsdb;charset=utf8mb4";
$pdo = new PDO($dsn, $user, $pass, [
  PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
  PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC
]);

Khi viết truy vấn INSERT hoặc UPDATE, luôn dùng prepared statements:


$stmt = $pdo->prepare("INSERT INTO articles (title, slug, content, category_id, author_id) VALUES (?, ?, ?, ?, ?)");
$stmt->execute([$title, $slug, $content, $category_id, $author_id]);

Chuẩn bị các API endpoint nội bộ để admin có thể quản lý và frontend gọi để hiển thị — đây là cách tiếp cận chuẩn khi triển khai Tạo web tin tức - PHP/MySQL. (5)

Tạo giao diện front-end: UX, responsive và SEO-friendly

Giao diện quyết định độc giả có ở lại hay rời đi. Khi phát triển cho Tạo web tin tức - PHP/MySQL, hãy chú trọng:

Thiết kế responsive (mobile-first).
Thanh điều hướng rõ ràng, box bài nổi bật, danh sách bài theo chuyên mục.
Tối ưu tốc độ tải trang: nén ảnh, lazy-load, minify CSS/JS.

Sử dụng template engine đơn giản như Twig hoặc PHP thuần với include header/footer để dễ bảo trì. Áp dụng semantic HTML (article, header, nav) giúp SEO. Hãy đặt thẻ meta (title, description) động theo từng bài, và cấu trúc dữ liệu (schema.org Article) để tăng hiển thị rich snippets trên Google.

Ví dụ layout trang chủ

Header (logo, menu, search)
Hero section (bài nổi bật)
Danh sách bài (thumbnail + excerpt) với phân trang
Sidebar (chuyên mục, bài đọc nhiều, tag cloud)
Footer (copyright, liên hệ)

Việc tối ưu front-end kết hợp backend hiệu quả là yếu tố tạo nên trang tin tức chuyên nghiệp trong dự án Tạo web tin tức - PHP/MySQL. (6)

Xây dựng admin panel: quản lý nội dung hiệu quả

Admin panel là nơi biên tập viên nhập bài, upload ảnh, set category, thêm tag và quản lý comment. Khi lập trình admin cho Tạo web tin tức - PHP/MySQL, cân nhắc:

Authentication & Authorization: chỉ admin/editor mới có quyền.
WYSIWYG editor: tích hợp TinyMCE, CKEditor để soạn content.
Upload file an toàn (kiểm tra MIME, rename, lưu ở folder ngoài web root nếu cần).
Versioning (tùy chọn): lưu lịch sử chỉnh sửa để rollback.

Thiết kế UI admin đơn giản nhưng hiệu quả: danh sách bài với thao tác Edit/Delete, trạng thái (draft/published), bộ lọc theo ngày và chuyên mục. Tự động tạo slug từ title và hiển thị preview là các tính năng cần có. Một admin panel tốt đáng giá khi thực hiện Tạo web tin tức - PHP/MySQL vì nó nâng cao hiệu suất biên tập. (7)

Tìm kiếm, phân trang và tối ưu hiệu năng truy vấn

Trang tin lớn cần phân trang và tìm kiếm nhanh. Các kỹ thuật hữu ích:

Phân trang: sử dụng LIMIT/OFFSET cho bảng nhỏ; với bảng lớn hãy dùng keyset pagination (WHERE id < last_id).
Tìm kiếm: cơ bản dùng LIKE, nâng cao dùng FULLTEXT index cho MySQL hoặc ElasticSearch khi cần.
Caching: cache kết quả truy vấn phổ biến trong Redis hoặc Memcached để giảm load DB.

Ví dụ phân trang MySQL:


SELECT id, title, excerpt FROM articles WHERE status='published' ORDER BY created_at DESC LIMIT 10 OFFSET 20;

Sử dụng EXPLAIN để kiểm tra truy vấn và đảm bảo column được index; tránh ORDER BY RAND() trên bảng lớn. Thực hành tối ưu giúp trang tin hoạt động mượt làm tăng trải nghiệm khi bạn Tạo web tin tức - PHP/MySQL. (8)

SEO, Open Graph và chia sẻ mạng xã hội

Một trang tin tức phải được tối ưu cho công cụ tìm kiếm và mạng xã hội:

Thiết lập meta title, meta description riêng cho mỗi bài.
Thêm thẻ Open Graph (og:title, og:description, og:image) và Twitter Card.
Dùng sitemap.xml và robots.txt để hướng dẫn bot.
Tạo breadcrumbs và schema.org (Article) để Google hiểu nội dung.

Ngoài ra, tốc độ tải trang (Core Web Vitals) ngày càng quan trọng cho SEO; do vậy tối ưu hình ảnh và giảm thời gian tải là ưu tiên. Khi bạn thiết kế hệ thống để Tạo web tin tức - PHP/MySQL, hãy tích hợp các yếu tố SEO từ đầu để giành lợi thế trên công cụ tìm kiếm. (9)

Bảo mật cho web tin tức: input validation và chống tấn công

Các trang tin thường bị tấn công spam comment, injection hay XSS. Một số biện pháp bảo vệ:

Escape output: dùng htmlspecialchars() khi hiển thị nội dung không tin cậy.
Prepared statements: phòng SQL injection.
CSRF token cho form (đăng bài, comment).
Rate limiting cho API và form comment.
Quét file upload: kiểm tra MIME, kích thước, đổi tên file.
Sử dụng HTTPS và thiết lập cookie flags HttpOnly và Secure.

Bảo mật tốt sẽ giữ uy tín trang tin và bảo vệ dữ liệu người dùng — phần không thể thiếu khi xây hệ thống Tạo web tin tức - PHP/MySQL. (10)

Triển khai, backup và vận hành

Khi mã ổn định, chuyển sang môi trường production:

Chọn hosting có support PHP, MySQL (VPS, cloud provider).
Sử dụng Git để deploy, cấu hình CI/CD nếu có.
Thiết lập backup DB định kỳ (daily/weekly) và kiểm tra khả năng phục hồi.
Giám sát server và log (errors, slow queries) bằng các tool như New Relic hoặc Grafana.
Cấu hình SSL, CDN (Cloudflare) cho nội dung tĩnh để giảm latency.

Một quy trình vận hành chuyên nghiệp giúp trang tin tồn tại lâu dài và dễ mở rộng khi bạn mở rộng chức năng cho dự án Tạo web tin tức - PHP/MySQL. (11)

Kế hoạch phát triển và tính năng mở rộng

Khi web tin tức đã chạy ổn, bạn có thể phát triển thêm:

Hệ thống đăng ký bản tin (newsletter) + quản lý subscriber.
Hệ thống paid-content hoặc paywall.
Mobile app dùng same API.
Personalization: đề xuất bài theo lịch sử đọc.
Realtime: push notifications, live updates với WebSocket.

Lập kế hoạch phát triển giúp bạn biết nên ưu tiên feature nào và khi nào cần scale cơ sở hạ tầng cho Tạo web tin tức - PHP/MySQL. (12)

CODE

Dưới đây là hướng dẫn mã nguồn hoàn chỉnh để triển khai một dự án web tin tức đơn giản bằng PHP + MySQL (sử dụng PDO, prepared statements, password hashing, CSRF token, upload ảnh an toàn). Tôi cung cấp cấu trúc thư mục, câu lệnh SQL tạo database, và toàn bộ nội dung các file (bạn chỉ cần copy/paste vào máy và chạy). Hướng dẫn này thiết kế cho môi trường local (XAMPP, Laragon, MAMP) nhưng cũng dễ deploy lên VPS/hosting.

Lưu ý: đây là project mục đích học tập — cho production bạn cần thêm cấu hình bảo mật, HTTPS, hardening server, test, và backup.

1. Yêu cầu & chuẩn bị

PHP >= 7.2 (PDO, password_hash có sẵn)
MySQL / MariaDB
XAMPP / Laragon / MAMP hoặc server có PHP+MySQL
Thư mục project (ví dụ htdocs/news-site)

2. Cấu trúc thư mục đề xuất


news-site/
├─ public/                  # public root (webserver document root)
│  ├─ assets/
│  │  ├─ css/style.css
│  │  └─ uploads/           # nơi lưu ảnh (chmod writable)
│  ├─ index.php
│  ├─ article.php
│  └─ view.php
├─ admin/
│  ├─ login.php
│  ├─ logout.php
│  ├─ dashboard.php
│  ├─ article_create.php
│  ├─ article_edit.php
│  └─ article_delete.php
├─ config/
│  └─ config.php
├─ lib/
│  ├─ db.php
│  └─ helpers.php
└─ sql/
   └─ schema.sql

Bạn có thể đặt public/ làm document root của webserver (an toàn hơn), hoặc mở toàn bộ folder và truy cập /public/index.php.

3. SQL: tạo database & bảng

Tạo file sql/schema.sql và chạy trong phpMyAdmin hoặc mysql client:


-- schema.sql
CREATE DATABASE IF NOT EXISTS newsdb CHARACTER SET utf8mb4 COLLATE utf8mb4_unicode_ci;
USE newsdb;

CREATE TABLE users (
  id INT AUTO_INCREMENT PRIMARY KEY,
  email VARCHAR(150) NOT NULL UNIQUE,
  password VARCHAR(255) NOT NULL,
  fullname VARCHAR(150) NOT NULL,
  role ENUM('admin','editor') DEFAULT 'editor',
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

CREATE TABLE categories (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100) NOT NULL,
  slug VARCHAR(150) NOT NULL UNIQUE
);

CREATE TABLE articles (
  id INT AUTO_INCREMENT PRIMARY KEY,
  title VARCHAR(255) NOT NULL,
  slug VARCHAR(255) NOT NULL UNIQUE,
  excerpt TEXT,
  content LONGTEXT,
  thumbnail VARCHAR(255),
  category_id INT,
  author_id INT,
  status ENUM('draft','published') DEFAULT 'draft',
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  updated_at TIMESTAMP NULL,
  FOREIGN KEY (category_id) REFERENCES categories(id) ON DELETE SET NULL,
  FOREIGN KEY (author_id) REFERENCES users(id) ON DELETE SET NULL
);

CREATE TABLE tags (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100) NOT NULL,
  slug VARCHAR(150) NOT NULL UNIQUE
);

CREATE TABLE article_tag (
  article_id INT NOT NULL,
  tag_id INT NOT NULL,
  PRIMARY KEY (article_id, tag_id),
  FOREIGN KEY (article_id) REFERENCES articles(id) ON DELETE CASCADE,
  FOREIGN KEY (tag_id) REFERENCES tags(id) ON DELETE CASCADE
);

CREATE TABLE comments (
  id INT AUTO_INCREMENT PRIMARY KEY,
  article_id INT NOT NULL,
  name VARCHAR(150) NOT NULL,
  email VARCHAR(150) NOT NULL,
  content TEXT NOT NULL,
  status ENUM('pending','approved','spam') DEFAULT 'pending',
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP,
  FOREIGN KEY (article_id) REFERENCES articles(id) ON DELETE CASCADE
);

-- Insert a default admin
INSERT INTO users (email, password, fullname, role)
VALUES ('admin@example.com', '{REPLACE_WITH_HASH}', 'Site Admin', 'admin');

-- Replace {REPLACE_WITH_HASH} with the hash from PHP password_hash('yourpassword', PASSWORD_DEFAULT)

Hướng dẫn tạo password hash: Mở file PHP tạm:


<?php
echo password_hash('admin123', PASSWORD_DEFAULT);

Chạy file, copy kết quả và thay {REPLACE_WITH_HASH} trong SQL.

4. File cấu hình DB

config/config.php


<?php
// config/config.php
return [
    'db' => [
        'host' => '127.0.0.1',
        'name' => 'newsdb',
        'user' => 'root',
        'pass' => '',
        'charset' => 'utf8mb4',
    ],
    'site' => [
        'base_url' => 'http://localhost/news-site/public', // điều chỉnh theo môi trường
    ]
];

5. Lớp DB (PDO) và helper

lib/db.php


<?php
// lib/db.php
class DB {
    private static $pdo = null;

    public static function init($config) {
        if (self::$pdo === null) {
            $db = $config['db'];
            $dsn = "mysql:host={$db['host']};dbname={$db['name']};charset={$db['charset']}";
            self::$pdo = new PDO($dsn, $db['user'], $db['pass'], [
                PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION,
                PDO::ATTR_DEFAULT_FETCH_MODE => PDO::FETCH_ASSOC,
                PDO::ATTR_EMULATE_PREPARES => false
            ]);
        }
    }

    public static function pdo() {
        return self::$pdo;
    }

    public static function fetchAll($sql, $params = []) {
        $stmt = self::$pdo->prepare($sql);
        $stmt->execute($params);
        return $stmt->fetchAll();
    }

    public static function fetch($sql, $params = []) {
        $stmt = self::$pdo->prepare($sql);
        $stmt->execute($params);
        return $stmt->fetch();
    }

    public static function execute($sql, $params = []) {
        $stmt = self::$pdo->prepare($sql);
        return $stmt->execute($params);
    }

    public static function lastInsertId() {
        return self::$pdo->lastInsertId();
    }
}

lib/helpers.php


<?php
// lib/helpers.php
session_start();

function config() {
    static $cfg = null;
    if ($cfg === null) {
        $cfg = require __DIR__ . '/../config/config.php';
    }
    return $cfg;
}

function base_url($path = '') {
    $cfg = config();
    return rtrim($cfg['site']['base_url'], '/') . '/' . ltrim($path, '/');
}

function e($str) {
    return htmlspecialchars($str ?? '', ENT_QUOTES, 'UTF-8');
}

function slugify($text) {
    $text = preg_replace('~[^\pL\d]+~u', '-', $text);
    $text = iconv('utf-8', 'us-ascii//TRANSLIT', $text);
    $text = preg_replace('~[^-\w]+~', '', $text);
    $text = trim($text, '-');
    $text = preg_replace('~-+~', '-', $text);
    $text = strtolower($text);
    if (empty($text)) {
        return 'n-a';
    }
    return $text;
}

function csrf_token() {
    if (empty($_SESSION['csrf_token'])) {
        $_SESSION['csrf_token'] = bin2hex(random_bytes(32));
    }
    return $_SESSION['csrf_token'];
}

function check_csrf($token) {
    return isset($_SESSION['csrf_token']) && hash_equals($_SESSION['csrf_token'], $token);
}

function is_logged_in() {
    return !empty($_SESSION['user_id']);
}

function require_login() {
    if (!is_logged_in()) {
        header('Location: ' . base_url('admin/login.php'));
        exit;
    }
}

6. Frontend: trang danh sách & bài viết

public/assets/css/style.css (một file cơ bản)


/* basic styles */
body { font-family: Arial, sans-serif; margin:0; padding:0; background:#f7f7f7; }
.container { max-width:1000px; margin:20px auto; background:#fff; padding:20px; box-shadow:0 2px 8px rgba(0,0,0,0.1);}
.header { display:flex; justify-content:space-between; align-items:center;}
.article { border-bottom:1px solid #eee; padding:15px 0;}
.article h2 { margin:0; font-size:1.25rem;}
.meta { color:#777; font-size:0.9rem;}
.thumbnail { max-width:200px; height:auto; float:left; margin-right:15px; }
.clear { clear:both; }
.btn { display:inline-block; padding:8px 12px; background:#007bff; color:#fff; border-radius:4px; text-decoration:none;}
.form-row { margin-bottom:10px; }

public/index.php – trang chủ/phan trang


<?php
require_once __DIR__ . '/../lib/helpers.php';
require_once __DIR__ . '/../lib/db.php';
DB::init(config());

$page = max(1, (int)($_GET['page'] ?? 1));
$perPage = 6;
$offset = ($page - 1) * $perPage;

$total = DB::fetch("SELECT COUNT(*) AS c FROM articles WHERE status='published'")['c'];
$articles = DB::fetchAll("SELECT a.*, u.fullname AS author, c.name AS category FROM articles a LEFT JOIN users u ON a.author_id = u.id LEFT JOIN categories c ON a.category_id = c.id WHERE a.status='published' ORDER BY a.created_at DESC LIMIT :limit OFFSET :offset", ['limit' => $perPage, 'offset' => $offset]);

// Note: PDO binding requires types; above we passed as params but could bindParam with PDO::PARAM_INT if needed.

?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title>Trang tin - Home</title>
  <link rel="stylesheet" href="assets/css/style.css">
</head>
<body>
<div class="container">
  <div class="header">
    <h1><a href="<?= e(base_url('public/index.php')) ?>">My News</a></h1>
    <div><a class="btn" href="<?= e(base_url('admin/login.php')) ?>">Admin</a></div>
  </div>

  <hr>

  <?php foreach ($articles as $a): ?>
  <div class="article">
    <?php if (!empty($a['thumbnail'])): ?>
      <img class="thumbnail" src="assets/uploads/<?= e($a['thumbnail']) ?>" alt="<?= e($a['title']) ?>">
    <?php endif; ?>
    <h2><a href="article.php?slug=<?= e($a['slug']) ?>"><?= e($a['title']) ?></a></h2>
    <div class="meta">By <?= e($a['author'] ?? 'Unknown') ?> | <?= e($a['category'] ?? 'Uncategorized') ?> | <?= e($a['created_at']) ?></div>
    <p><?= nl2br(e($a['excerpt'])) ?></p>
    <a class="btn" href="article.php?slug=<?= e($a['slug']) ?>">Đọc tiếp</a>
    <div class="clear"></div>
  </div>
  <?php endforeach; ?>

  <div style="margin-top:20px;">
    <?php
      $totalPages = ceil($total / $perPage);
      for ($i=1;$i<=$totalPages;$i++){
        if ($i==$page) echo "<strong>$i</strong> ";
        else echo "<a href='?page=$i'>$i</a> ";
      }
    ?>
  </div>
</div>
</body>
</html>

public/article.php – xem chi tiết bài


<?php
require_once __DIR__ . '/../lib/helpers.php';
require_once __DIR__ . '/../lib/db.php';
DB::init(config());

$slug = $_GET['slug'] ?? '';
$article = DB::fetch("SELECT a.*, u.fullname AS author, c.name AS category FROM articles a LEFT JOIN users u ON a.author_id = u.id LEFT JOIN categories c ON a.category_id = c.id WHERE a.slug = :slug AND a.status='published'", ['slug'=>$slug]);

if (!$article) {
  http_response_code(404);
  echo "Bài viết không tìm thấy";
  exit;
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="utf-8">
  <title><?= e($article['title']) ?></title>
  <link rel="stylesheet" href="assets/css/style.css">
  <meta name="description" content="<?= e(substr(strip_tags($article['excerpt'] ?? $article['content']),0,160)) ?>">
  <!-- Open Graph -->
  <meta property="og:title" content="<?= e($article['title']) ?>">
  <meta property="og:description" content="<?= e(substr(strip_tags($article['excerpt'] ?? $article['content']),0,160)) ?>">
  <?php if (!empty($article['thumbnail'])): ?>
  <meta property="og:image" content="<?= e(base_url('public/assets/uploads/'.$article['thumbnail'])) ?>">
  <?php endif; ?>
</head>
<body>
<div class="container">
  <h1><?= e($article['title']) ?></h1>
  <div class="meta">By <?= e($article['author'] ?? 'Unknown') ?> | <?= e($article['category'] ?? '') ?> | <?= e($article['created_at']) ?></div>
  <?php if (!empty($article['thumbnail'])): ?>
    <p><img src="assets/uploads/<?= e($article['thumbnail']) ?>" alt="" style="max-width:100%;"></p>
  <?php endif; ?>
  <div><?= $article['content'] /* content stored as HTML from editor */ ?></div>
  <p><a href="index.php">Quay về trang chủ</a></p>
</div>
</body>
</html>

Lưu: content ta giả sử được lưu là HTML (editor như TinyMCE) — hiển thị thận trọng: nếu hộp soạn cho phép HTML, cần sanitization (e.g. HTMLPurifier) trên input trước khi lưu.

7. Admin: login / dashboard / CRUD bài viết

admin/login.php


<?php
require_once __DIR__ . '/../lib/helpers.php';
require_once __DIR__ . '/../lib/db.php';
DB::init(config());

$err = '';
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    $email = $_POST['email'] ?? '';
    $password = $_POST['password'] ?? '';
    if ($email && $password) {
        $user = DB::fetch("SELECT * FROM users WHERE email = :email", ['email'=>$email]);
        if ($user && password_verify($password, $user['password'])) {
            // login ok
            $_SESSION['user_id'] = $user['id'];
            $_SESSION['user_name'] = $user['fullname'];
            header('Location: dashboard.php');
            exit;
        } else {
            $err = 'Thông tin đăng nhập không chính xác';
        }
    } else {
        $err = 'Vui lòng nhập email và mật khẩu';
    }
}
?>
<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>Admin Login</title></head>
<body>
<div class="container">
<h2>Admin Login</h2>
<?php if ($err): ?><p style="color:red;"><?= e($err) ?></p><?php endif; ?>
<form method="post">
  <div class="form-row"><label>Email:</label><input type="email" name="email" required></div>
  <div class="form-row"><label>Password:</label><input type="password" name="password" required></div>
  <button type="submit">Login</button>
</form>
<p><a href="<?= e(base_url('public/index.php')) ?>">Back to site</a></p>
</div>
</body>
</html>

admin/logout.php


<?php
require_once __DIR__ . '/../lib/helpers.php';
session_start();
session_destroy();
header('Location: login.php');
exit;

admin/dashboard.php (liệt kê bài, link create/edit/delete)


<?php
require_once __DIR__ . '/../lib/helpers.php';
require_once __DIR__ . '/../lib/db.php';
DB::init(config());
require_login();

$articles = DB::fetchAll("SELECT a.*, u.fullname as author, c.name as category FROM articles a LEFT JOIN users u ON a.author_id = u.id LEFT JOIN categories c ON a.category_id = c.id ORDER BY a.created_at DESC");
?>
<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>Admin Dashboard</title></head>
<body>
<div class="container">
  <h2>Dashboard - Welcome <?= e($_SESSION['user_name']) ?></h2>
  <p><a href="article_create.php">Create New Article</a> | <a href="logout.php">Logout</a></p>
  <table border="1" cellpadding="6">
    <tr><th>ID</th><th>Title</th><th>Category</th><th>Status</th><th>Actions</th></tr>
    <?php foreach ($articles as $a): ?>
      <tr>
        <td><?= e($a['id']) ?></td>
        <td><?= e($a['title']) ?></td>
        <td><?= e($a['category']) ?></td>
        <td><?= e($a['status']) ?></td>
        <td>
          <a href="article_edit.php?id=<?= e($a['id']) ?>">Edit</a> |
          <a href="article_delete.php?id=<?= e($a['id']) ?>" onclick="return confirm('Delete?')">Delete</a>
        </td>
      </tr>
    <?php endforeach; ?>
  </table>
</div>
</body>
</html>

admin/article_create.php


<?php
require_once __DIR__ . '/../lib/helpers.php';
require_once __DIR__ . '/../lib/db.php';
DB::init(config());
require_login();

$err = '';
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!check_csrf($_POST['csrf'] ?? '')) { $err = 'CSRF token invalid'; }
    $title = trim($_POST['title'] ?? '');
    $content = $_POST['content'] ?? '';
    $excerpt = $_POST['excerpt'] ?? '';
    $category_id = $_POST['category_id'] ?: null;
    $status = $_POST['status'] ?? 'draft';
    $slug = slugify($title);
    // handle upload
    $thumbnail = null;
    if (!empty($_FILES['thumbnail']['name'])) {
        $allowed = ['image/jpeg','image/png','image/gif'];
        if (!in_array($_FILES['thumbnail']['type'], $allowed)) {
            $err = 'Only JPG/PNG/GIF allowed';
        } else {
            $ext = pathinfo($_FILES['thumbnail']['name'], PATHINFO_EXTENSION);
            $fname = time() . '_' . bin2hex(random_bytes(6)) . '.' . $ext;
            $dst = __DIR__ . '/../public/assets/uploads/' . $fname;
            if (!move_uploaded_file($_FILES['thumbnail']['tmp_name'], $dst)) {
                $err = 'Upload failed';
            } else {
                $thumbnail = $fname;
            }
        }
    }
    if (!$err && $title) {
        DB::execute("INSERT INTO articles (title, slug, excerpt, content, thumbnail, category_id, author_id, status) VALUES (:title, :slug, :excerpt, :content, :thumbnail, :category_id, :author_id, :status)", [
            'title'=>$title, 'slug'=>$slug, 'excerpt'=>$excerpt, 'content'=>$content, 'thumbnail'=>$thumbnail,
            'category_id'=>$category_id, 'author_id'=>$_SESSION['user_id'], 'status'=>$status
        ]);
        header('Location: dashboard.php');
        exit;
    }
}
$categories = DB::fetchAll("SELECT * FROM categories ORDER BY name");
?>
<!DOCTYPE html>
<html>
<head><meta charset="utf-8"><title>Create Article</title></head>
<body>
<div class="container">
  <h2>Create Article</h2>
  <?php if ($err) echo "<p style='color:red'>".e($err)."</p>"; ?>
  <form method="post" enctype="multipart/form-data">
    <input type="hidden" name="csrf" value="<?= e(csrf_token()) ?>">
    <div class="form-row"><label>Title</label><input type="text" name="title" required></div>
    <div class="form-row"><label>Excerpt</label><textarea name="excerpt"></textarea></div>
    <div class="form-row"><label>Content</label><textarea name="content" rows="10"></textarea></div>
    <div class="form-row"><label>Thumbnail</label><input type="file" name="thumbnail"></div>
    <div class="form-row"><label>Category</label><select name="category_id"><option value="">--None--</option>
      <?php foreach($categories as $c) echo '<option value="'.e($c['id']).'">'.e($c['name']).'</option>'; ?>
    </select></div>
    <div class="form-row"><label>Status</label>
      <select name="status"><option value="draft">Draft</option><option value="published">Published</option></select>
    </div>
    <button type="submit">Create</button>
  </form>
  <p><a href="dashboard.php">Back</a></p>
</div>
</body>
</html>

admin/article_edit.php and admin/article_delete.php follow the same security patterns: check login, check CSRF for POST actions, fetch record by id, allow update/delete using prepared statements. (Due to length, you can replicate create logic, pre-fill fields, and handle UPDATE and DELETE accordingly — keep the same validation and upload handling.)

8. Notes về upload & folder permissions

Tạo folder public/assets/uploads và cấp quyền ghi: chmod 755 hoặc chmod 775 (tùy server).
Kiểm tra MIME type và file size. Bạn có thể dùng getimagesize() để validate ảnh.

9. An toàn & vận hành

Luôn dùng prepared statements (PDO) — đã áp dụng trong template.
Mã hoá mật khẩu bằng password_hash() (đã dùng trong SQL seed).
Dùng htmlspecialchars() khi in ra giá trị không tin cậy (e() helper).
CSRF token cho form admin (đã có).
Bật HTTPS trên production; set cookie flags httponly và secure.
Log lỗi (file), không display errors trên production.

10. Triển khai và kiểm tra

Import sql/schema.sql và tạo account admin (dùng password_hash để tạo mật khẩu).
Sửa config/config.php phù hợp host và base_url.
Đặt document root trỏ vào news-site/public hoặc dùng localhost/news-site/public/.
Tạo folder upload public/assets/uploads và chmod.
Mở public/index.php để xem trang chủ; đăng nhập admin vào admin/login.php, tạo bài.

11. Gợi ý mở rộng (khi đã hoàn thiện)

Thêm WYSIWYG (TinyMCE/CKEditor) cho content, kèm sanitize (HTMLPurifier).
Thêm tính năng comment (với moderation), search nâng cao (FULLTEXT), tag management.
Dùng Redis để cache danh sách bài phổ biến.
Tách model and repository, hoặc sử dụng framework (Laravel) khi dự án lớn.
Viết unit test/integration test cho module admin & article.

Kết luận — Triển khai nhanh & tiếp tục học

Đây là một bộ hướng dẫn mã nguồn đầy đủ, đủ để bạn tạo web tin tức cơ bản bằng PHP/MySQL: từ schema DB, lớp kết nối, helper, front-end hiển thị, đến admin panel với authentication, upload ảnh và security cơ bản. Bạn có thể copy toàn bộ file, tùy chỉnh config.php, import schema.sql, và chạy thử trên local.

Nếu muốn, tôi có thể:

Gửi thêm nội dung chi tiết file article_edit.php và article_delete.php hoàn chỉnh.
Viết README sẵn cho repo (chỉ dẫn deploy, seed admin).
Thêm ví dụ Ajax để publish/unpublish bài không reload trang.

Bạn muốn tôi gửi thêm file nào chi tiết hơn trước? (ví dụ article_edit.php, article_delete.php, hoặc script seed admin tự động với password hash).