den hash kann man ohne probleme wiresharken sonst die verbindung lokal umleiten und da den query string ändern, es gibt keine möglichkeit queries sicher vom programm zu schickenQuote:
Normal kann nur meine Software auf die .php zugreifen. (Software hash, dieser wird in der PHP eingebaut.)
An Alle Pro Cracker ;p
05/24/2013 19:55
tolio#31
05/24/2013 22:40
dready#32
Glaub mir, auch wenn einige Leute hier sehr harsch rüberkommen, sie alle sind in dem Thread weil sie dir helfen wollen ;) Du reißt hier gerade ein Scheunentor großes Loch in deinen Server, im besten Fall mit unmengen Arbeit kannst du die SQL queries so verstecken, das es ein paar Minuten aufwand wäre an sie zu kommen.
Der allerste Satz den man bei jeder Art von Client-Server Programm im Kopf haben sollte ist: Der Client gehört dem Feind. Kein Einziges Wort von ihm kann man als richtig ansehen.
Dein Fehler liegt im Design deines Lizens Systems, es darf keine Querys zum Server geben direkt von deinem Client, der Client sollte auf etwas auf dem Webserver zugreifen, in welcher Sprache auch immer, Der Server selbst nimmt dann diese Values, valdiert das auch kein Müll drin ist, und macht dann mit diesen Values den eigentlichen Request an deine DB. Solang du dann Sql Injections im Hinterkopf behälst bekommst du auch ein einigermassen vernüftiges System zusammen.
Der allerste Satz den man bei jeder Art von Client-Server Programm im Kopf haben sollte ist: Der Client gehört dem Feind. Kein Einziges Wort von ihm kann man als richtig ansehen.
Dein Fehler liegt im Design deines Lizens Systems, es darf keine Querys zum Server geben direkt von deinem Client, der Client sollte auf etwas auf dem Webserver zugreifen, in welcher Sprache auch immer, Der Server selbst nimmt dann diese Values, valdiert das auch kein Müll drin ist, und macht dann mit diesen Values den eigentlichen Request an deine DB. Solang du dann Sql Injections im Hinterkopf behälst bekommst du auch ein einigermassen vernüftiges System zusammen.
05/25/2013 09:57
Acin™#33
Diese Daten vom Webserver müssten dann doch auch in den Programmcode?Quote:
Der allerste Satz den man bei jeder Art von Client-Server Programm im Kopf haben sollte ist: Der Client gehört dem Feind. Kein Einziges Wort von ihm kann man als richtig ansehen.
Dein Fehler liegt im Design deines Lizens Systems, es darf keine Querys zum Server geben direkt von deinem Client, der Client sollte auf etwas auf dem Webserver zugreifen, in welcher Sprache auch immer, Der Server selbst nimmt dann diese Values, valdiert das auch kein Müll drin ist, und macht dann mit diesen Values den eigentlichen Request an deine DB. Solang du dann Sql Injections im Hinterkopf behälst bekommst du auch ein einigermassen vernüftiges System zusammen.
05/25/2013 10:42
Fehlgeschlagen#34
:facepalm: Fang noch mal von ganz vorn an. Am besten mit Visual Basic undQuote:
arbeite dich Schritt für Schritt hoch.
05/25/2013 10:45
Acin™#35
Das war eine Gegenfrage für ihn.Quote:
arbeite dich Schritt für Schritt hoch.
Ich soll es ja vermeiden, die Querys im Programm zu halten.
Wenn sie auf einem Webspace sind, muss man die Daten von diesem Server ja wiederrum auch im Quellcode angeben?
05/25/2013 11:26
Schlüsselbein#36
Nein. Genauso wenig, wie ich die Zugangsdaten zum Server von elitepvpers.com brauch, um diesen Beitrag hier in die Datenbank schreiben zu lassen.Quote:
Wenn sie auf einem Webspace sind, muss man die Daten von diesem Server ja wiederrum auch im Quellcode angeben?
05/25/2013 11:46
tolio#37
php ist eine serverseitige sprache, dh der quellcode ist nur dem server bekannt aber nicht von außen einseh oder änderbar, sondern von außen sieht man nur "das ergebnis" des codes
und genau das ist der knackpunkt
und genau das ist der knackpunkt
05/25/2013 12:07
Acin™#38
Ja, aber wenn mein Programm genau diese PHP mit den Querys anspricht, kann es doch jedes andere Programm auch?Quote:
und genau das ist der knackpunkt
05/25/2013 12:15
Schlüsselbein#39
Deswegen übernimmt dein PHP-Script nicht einfach nur Querys. Du übergibst dem Script z.B. nur die HWID. Das Script bastelt daraus ne Query und fragt die DB ab.
05/25/2013 12:59
tolio#40
bsp:
dein programm sendet: "123456abcd"
und in php wird dann das so zusammengesetzt:
"select .... where hwid = " + [das übergebene]
also, "select .... where hwid = '123456abcd'"
und gibt in irgendeiner form das ergebnis zurück
sicher kann das jetzt jeder ansprechen ist aber total wayne weils niemand missbrauchen kann, egal was man jetzt statt dem "123456abcd" sendet, es wird immer nur ein select gemacht und somit ist kein drop, insert, update etc an der stelle möglich
einfach noch das was angenommen wird escapen und dann biste auf der ganz sicheren seite (mysql_real_escapestring oder sowas nennt sich das)
dein programm sendet: "123456abcd"
und in php wird dann das so zusammengesetzt:
"select .... where hwid = " + [das übergebene]
also, "select .... where hwid = '123456abcd'"
und gibt in irgendeiner form das ergebnis zurück
sicher kann das jetzt jeder ansprechen ist aber total wayne weils niemand missbrauchen kann, egal was man jetzt statt dem "123456abcd" sendet, es wird immer nur ein select gemacht und somit ist kein drop, insert, update etc an der stelle möglich
einfach noch das was angenommen wird escapen und dann biste auf der ganz sicheren seite (mysql_real_escapestring oder sowas nennt sich das)
05/25/2013 13:19
Acin™#41
Okay, danke.
Noch welche Tutorials dafür?
Gut verständliche bzw. Deutsche sind am besten.
Gruß
Noch welche Tutorials dafür?
Gut verständliche bzw. Deutsche sind am besten.
Gruß
05/25/2013 13:24
tolio#42
da findest du alles was du brauchst, natürlich nicht 1:1 kopieren sondern deinen vorgaben anpassen, aber alle relevanten funktionsweisen sind da drin
[Only registered and activated users can see links. Click Here To Register...]
€dit, unten im zweiten teil wirds realisiert mit nem webbrowser, mach das mit webrequests sonst sieht das ganz ok aus
[Only registered and activated users can see links. Click Here To Register...]
€dit, unten im zweiten teil wirds realisiert mit nem webbrowser, mach das mit webrequests sonst sieht das ganz ok aus
05/25/2013 14:51
Acin™#43
Wie müsste ich es dann abändern?
Mit einem Webbrowser im Login zu Arbeiten tue ich mir nicht an.
Kann man die Daten nicht direkt ans PHP Script geben?
Gruß
Mit einem Webbrowser im Login zu Arbeiten tue ich mir nicht an.
Kann man die Daten nicht direkt ans PHP Script geben?
Gruß
05/25/2013 14:57
tolio#44
bitte lern die grundlagen
05/25/2013 15:13
Netzgeist#45
Für jetzt und alle Zukunft:
ALLES was vom Benutzer/Client/Proxy/Gate/Netzwerk an Daten zu deinem Programm kommt ist FEINDLICH. Ja, auch header, cookies, refferers, serialisiertes. Wann immer du sowas innerhalb der Serverseite verarbeitest frag dich "was könnte da schlimmstenfalls drinnstehen?"
Und hier scheinbar wichtiger: Wann immer du dir diese Frage nicht absolut sicher beantworten kannst, mach die IDE zu und recherchiere.
ALLES was vom Benutzer/Client/Proxy/Gate/Netzwerk an Daten zu deinem Programm kommt ist FEINDLICH. Ja, auch header, cookies, refferers, serialisiertes. Wann immer du sowas innerhalb der Serverseite verarbeitest frag dich "was könnte da schlimmstenfalls drinnstehen?"
Und hier scheinbar wichtiger: Wann immer du dir diese Frage nicht absolut sicher beantworten kannst, mach die IDE zu und recherchiere.