Frostgear Studios | Flyff Web Development

xsrf · 04/09/2014, 12:15

Accountsicherheit.

SQL Injection ist so oder so gesichert.

Außer du kommst mit weiß ich was für exotischen Scripts da an aber solche Leute treiben sich hier definitiv nicht rum^^

XSS habe ich mir schon was angesehen muss mir aber noch Gedanken drüber machen.

Eher auch in Richtung Deadlocks & Pushen.

Sedrika · 04/09/2014, 13:20

Deadlocks ist nur wegen den Indexes, das ist ein Fach wenn man sich das einmal angesehen hat wie ich kürzlich hier. Und wenn du sagst SQL ist sicher ohne exotische Scripts, dann ist es nicht sicher. Ich hab dir meine Methode gezeigt, die 100 Prozent sicher ist und keine 99.99.

xsrf · 04/09/2014, 13:27

Sedrika es gibt keine 100%ige Sicherheit^^

Selbst die NSA ist nicht zu 100% sicher nur eben verdammt gut gesichert.

Mein Code sichert alles, deiner auch.

Meiner ist nicht 100% sicher, deiner auch nicht.

Du kannst eben nicht 100% sicher sein.

Es gibt immer Mittel und Wege doch irgendetwas zu veranstalten.

Das wird dir jeder einigermaßen guter Entwickler bestätigen.

Sedrika · 04/09/2014, 13:30

Wir beziehen uns hier auf die Sicherheit der SQL inject jetzt, meine Methode ist nunmal sicherer als deine und das kann ich so auch standfest behaupten. Worauf du eingehst ist die allgemeine Sicherheit, was nie 100 Prozent ist.

Das kann man aber privat klären.

xsrf · 04/09/2014, 13:46

#update

Also die Funktion ist definitiv sicher. Ich bin nur sehr vorsichtig was ich sage, da ich auch von wirklichen Härtefällen ausgehe die sich seit X Jahren mit nichts anderem als der SQL Injection beschäftigen und es trotzdem irgendwie durch irgendwelche exotischen Scripts schaffen.

Da ich aber gerade darüber informiert wurde, dass es doch eine 100%ige Sicherheit gibt was das anbelangt, kann ich auch nunr behaupten das die Funktion sicher ist.

paddelx3 · 04/10/2014, 11:35

Interessant.

Als Web-Dev Interessiert mich das schon, jedoch stellen sich mir auch viele Fragen.

Wie sieht die grafische Benutzeroberfläche aus?
Ihr solltet darauf achten diese nicht mit zu vielen Effekten zu zubomben, zugleich darf das ganze nicht nach einiger Zeit ermüdent rüber kommen.

Was unterscheidet euch von den "Systemen" die derzeit in der Scene kusieren?
Stefan Pfeiffer's als auch xxBlubbs System sind im Endeffekt eben solche "Systeme".
Eine einfache Verwaltung der Seite via Backend.

Wieso sollte eure Software leistungsfähiger sein?
Verwendet ihr FW's(frameworks) ? Wenn ja solltet ihr euch im klaren sein das diese oft mals einen zu großen Umfang bieten, viel unnötiges Zeug das nicht genutzt wird.

Wieso sollte euer Code nicht 0815 sein?
Aus dem Code geht die Performance hervor, was habt ihr als "Jung Entwickler" für Erfahrungen mit solchen Geschichten? Einfach nur ein Panel von oben nach unten zu proggen kann jeder aber warum seit ihr euch so sicher das euer Code nicht 0815 ist, noch dazu ne hohe Performance anbietet und gleichzeitig auch noch verständlich ist?

Einbettung von Design-Patterns?
Sind euch "Design Patterns" ein Begriff, setzt ihr das ganze mit den MVC oder HMVC oder doch prozendual / OOP um?

Habt ihr euch euren "Kunden" angepasst?
Ich hab gelesen Duale DB Connection, schöne Sache. Jedoch solltet ihr ebenfalls eure Kunden im Auge behalten, den kein Server nutzt meines Wissens nach derzeit eine Dual-DB (z.b. für ein backup?). Oder meintet ihr das im Sinne von Website->Mysql, Server->Mssql ?

Was macht euch so sicher das euer Panel besonders sicher ist?
Habt ihr eine eigene Verschlüsslung aller daten und deren Übertrag? nur escape Functions zu nutzen ist keine Sicherheit. Ebenso stellt sich mir dann die frage ob ihr mit den mssql_****() funktionen von PHP arbeitet.. oder doch mit den neuen sqlsrv_***() funktionen ? Oder PDO? .. etc. darüber sollte man sich gedanken machen und auch was der Unterschied der jeweils einzelnen oben genannten Elemente ist

Ansonsten wünsch ich euch weiterhin viel Glück für eure Entwicklung, und wie Blubbs oben schon gesagt hat solltet ihr es nicht zum "motivationstod" kommen lassen, währe aber trotzdem schön wenn ich auf obriges konkrete Antworten bekomme.

lg

xsrf · 04/10/2014, 16:02

Quote:

Ihr solltet darauf achten diese nicht mit zu vielen Effekten zu zubomben, zugleich darf das ganze nicht nach einiger Zeit ermüdent rüber kommen.

Auf der vorherigen Seite findest du Screens wie die Seite zur Zeit aussieht.

Quote:

Was unterscheidet euch von den "Systemen" die derzeit in der Scene kusieren?
Stefan Pfeiffer's als auch xxBlubbs System sind im Endeffekt eben solche "Systeme".
Eine einfache Verwaltung der Seite via Backend.

und

Quote:

Wieso sollte eure Software leistungsfähiger sein?
Verwendet ihr FW's(frameworks) ? Wenn ja solltet ihr euch im klaren sein das diese oft mals einen zu großen Umfang bieten, viel unnötiges Zeug das nicht genutzt wird.

- Einfache Anpassung von eigenen Templates ohne PHP Kenntnisse

- Fehler aus den bekannten Systemen behoben und Kleinigkeiten optmiert

- Viel einfachere & schnellere aber zugleich auch größere Verwaltung (mehr Dinge die verwaltet werden können)

- Hoher Schutz vor dupen, pushen etc...

- Grundfunktionen sind direkt enthalten weitere können hinzugefügt werden. ( Soll verhindern, dass Leute auf ALLE Funktionen angewiesen sind auch wenn sie diese garnicht brauchen. )

- langer Schutz vor der Veröffentlichung des Kunden CMS (Darauf möchte ich nicht näher eingehen da alle Kunden darüber genauestens informiert werden. Im Prinzip: Das CMS ist lange davor geschützt entgültig und vollfunktionsfähig released zuwerden. )

Quote:

Wieso sollte euer Code nicht 0815 sein?
Aus dem Code geht die Performance hervor, was habt ihr als "Jung Entwickler" für Erfahrungen mit solchen Geschichten? Einfach nur ein Panel von oben nach unten zu proggen kann jeder aber warum seit ihr euch so sicher das euer Code nicht 0815 ist, noch dazu ne hohe Performance anbietet und gleichzeitig auch noch verständlich ist?

Ich beschäftige mich seit langem mit der Performanceoptimierung daher kommt das wahrscheinlich.
Der Code wird nicht 0815 sein, da ich viel Wert auf Sauberkeit lege und keinen Code einfach nur runterschreiben würde ohne genauestens zuwissen, dass er auch genau das macht was er soll und sämtliche Lücken die mir bekannt sind nicht öffnet bzw direkt schließt.

Das Kunden CMS wird Objektorientiert entwickelt werden wie es mit dem Release CMS aussieht ist mir noch nicht ganz klar.

Allerdings wird selbst da der Code gut strukturiert und vorallem geprüft & sicher sein.

Quote:

Ich hab gelesen Duale DB Connection, schöne Sache. Jedoch solltet ihr ebenfalls eure Kunden im Auge behalten, den kein Server nutzt meines Wissens nach derzeit eine Dual-DB (z.b. für ein backup?). Oder meintet ihr das im Sinne von Website->Mysql, Server->Mssql ?

Webseite = MySQL Server = MSSQL.

Das trifft den Nagel eigentlich auf den Kopf^^

Quote:

Was macht euch so sicher das euer Panel besonders sicher ist?
Habt ihr eine eigene Verschlüsslung aller daten und deren Übertrag? nur escape Functions zu nutzen ist keine Sicherheit. Ebenso stellt sich mir dann die frage ob ihr mit den mssql_****() funktionen von PHP arbeitet.. oder doch mit den neuen sqlsrv_***() funktionen ? Oder PDO? .. etc. darüber sollte man sich gedanken machen und auch was der Unterschied der jeweils einzelnen oben genannten Elemente ist

Für das Release CMS benutzen wir die bisherigen bekannten Funktionen. Für das Kunden CMS eine Klasse die mit PDO arbeitet.

Das CMS wird vor sämtlichen Sicherheitslücken sicher sein. Zumindest vor mehr als es die jetzigen sind.
Wir arbeiten jeden Tag an unserem Konzept, dieses CMS sicherer zugestalten als uns zu überlegen welche neuen unnötigen Features wir als nächstes einbauen könnten.

_______________________________

Ich hoffe ich konnte dir deine Fragen weitesgehenst beantworten.

Drabur · 04/10/2014, 21:47

Quote:

Originally Posted by AMAZEN

[B][I]Webseite = MySQL Server = MSSQL.

Das ist der größte Bullshit den ich lange gelesen habe. Warum sollte man 2 verschiedene Datenbanken nutzen? Du kannst doch einfach die vorhandene MSSQL nehmen und da deine Prozeduren und so reinpacken?
Vorteile sind, du musst weniger SQL Befehl ausführen, da du z.B. beim Register eine Prozedur für beides verwenden kannst.
Noch ein Vorteil ist, dass du informationen direkt aus der Datenbank nehmen kannst und sie nicht noch mit anderen Daten abgleichen muss.

Ich weiß ja nicht wie weit du in Sache TSQL bist aber so wie du hier auftrittst meinst du ja dass du der King bist, mir scheint es nur nicht so.

xsrf · 04/10/2014, 22:47

Doch das ergibt viel Sinn.

Die Prozeduren bleiben gleich, da bis auf die Registration die Statements sich kaum erhöhen werden.

Denn entweder ist es Spiel-Datenbank oder Webseite-Datenbank.

Sedrika · 04/11/2014, 07:37

Und dennoch ist mehr verlangt.
Muss hier drabur recht geben. Du könntest mehr an Ressourcen sparen in dem du mysql weg lässt

xsrf · 04/11/2014, 07:39

Sedrika das ist ein ganz minimaler Unterschied und optional.

Es geht darum die Entwicklung der Spieldatenbank nicht zubeinflussen.

Als Beispiel:

Als ich mir überlegte dieses Projekt zustarten musste ich mir eine Flyff Datenbank raussuchen.

Problem: Fast jede hatte irgendeinen sinnlosen Homepage kram mit dabei.

Das möchte ich vermeiden in dem sage: "Hey du kannst dir selbst aussuchen ob du ein paar Ressourcen mehr belasten willst und dafür eine cleane Datenbank hast oder du kannst auch nur MSSQL nutzen, dass bleibt dir überlassen.

Quote:

Ich weiß ja nicht wie weit du in Sache TSQL bist aber so wie du hier auftrittst meinst du ja dass du der King bist, mir scheint es nur nicht so.

Ich spiele mich keineswegs auf, tut mir leid wenn es für dich den Eindruck erweckt hat. Des Weiteren werde ich jetzt keine Rechenschaft mehr ablegen bzgl. meiner Kompetenzen o:

Drabur · 04/11/2014, 09:58

Quote:

Es geht darum die Entwicklung der Spieldatenbank nicht zubeinflussen.

Du kannst ja einfach eine neue Datenbank erstellen dann stört das nicht weiter.

xsrf · 04/11/2014, 10:29

Du wirst beim installieren die Möglichkeit haben, auszuwählen ob du das über 2 oder 1 Datenbanken laufen lassen willst.

Drabur · 04/11/2014, 10:43

Quote:

Originally Posted by AMAZEN

Du wirst beim installieren die Möglichkeit haben, auszuwählen ob du das über 2 oder 1 Datenbanken laufen lassen willst.

Das is ja dann mega die arbeit alles für beide DB's zu schreiben.

paddelx3 · 04/11/2014, 10:44

Quote:

Originally Posted by Drabur

Du kannst ja einfach eine neue Datenbank erstellen dann stört das nicht weiter.

Es hat eher wenig mit den Resourcen zu tun, dass der TE MySQL als auch MSSQL benutzen möchte, viel mehr mit einer saubere Trennung der Daten von Server / Homepage verteilt auf 2 Datenbanken.

Wenn jemand nun nach release irgend eine Lücke entdeckt und diese später ausnutzt wird nicht auf den MSSQL Server zugegriffen afaik bedeutet das das der laufende Server nicht beeinträchtigt wird, so ist mein Verständniss nach einer Unterhaltung mit den TE am gestrigen Abend.

Und bei 100-200 Usern wovon evtl 6-7 Stk. auf der Homepage im selben moment aktiv sind ist es unsinnig über sowas als Beeinträchtigung nach zu denken. Kenn mich mit der Scene leider nicht mehr aus, aber ich schätze das die "Kunden" keine High Player Counts von 2-3k Usern zählen können. Es währe aber aufjedenfall besser auf MySQL zu verzichten, lässt man die anderen Faktoren weg.

( Währe zudem cool wenn wir mal nen bissel Code bekommen, der interessiert mich persönlich am meisten, zudem kannst du den Flamern so zeigen "Jungs, ich hab was drauf" ^^)

lg