PHP/mySQL-Sicherheit in Browsergames

[Nightflyer]

http://www.weixelbaumer.ch/stuff/bgsecurity.pdf

Hab mal ein kleines Tut geschrieben. Ist zwar speziell für Browsergames aber hilft auch bei der Sicherheit aller anderen Webapplikationen.

[b.asile]

Hey thx, und Respekt natürlich noch nicht gelesen, aber mal auf der Platte gespeichert.
Werde mir das sichermal innerhalb der nächsten Tage mal durchlesen.

Herzliches Dankeschön!

gruß b.asile

[bishop]

Bis auf die Codesamples ein wenig schwer zu lesen, sry. Dennoch nett gemacht.

[TinKim]

Hey, danke für Dein Engagement, aber anstrengend zu lesen ist es leider wirklich. Mit dem

Zitat:

...ähm... nein...mom...

nimmst Du Dir gleich viel Wind aus den Segeln, und das ist schade.

Warum "verkaufst" Du das Tut als Browsergame-Sicherheits-Tutorial? Nenn es doch etwa "Grundlagen-Tutorial zur Sicherheit von PHP-Anwendungen" und Du triffst den Kern der Sache :-)

[rechtschreibfan]

btw: du brauchst keine zwei abfragen um zu schauen ob jemand zugriff auf das objekt hatte oder nicht.

bei einem DELETE FROM WHERE (userid=X AND building_id=Y) kannst du immer mit mysql_affected_rows() nachgucken ob eine zeile davon betroffen war oder nicht. falls nein hast du deinen cheater hast für diese information keine zusätzliche db-abfrage benötigt. gerade bei belasteten systemen ist die anzahl der abfragen pro sekunde ausschlaggebend.

das nur mal am rande.

wenn du das ganze wirklich einem größeren publikum zur verfügung stellen willst, würde ich auch empfehlen ein wenig wissenschaftlicher zu werden, dann kommt das sicher gut an.

grüße
axo

[bishop]

Wissenschaftlicher muss es nicht unbedingt werden. Das ist oft der Grund, warum viele sich nicht Sicherheit befassen – es ist oft so trocken und PHP und MySQL bieten doch sonst einen recht freundlichen Einstieg in die Programmierung. Die Umgangssprache müsste nur einer regulären Ausdrucksweise weichen, das Level an sich ist aber in Ordnung. Damit erreicht man wesentlich eher die eigentliche “Zielgruppe” als wenn man eine “O'Reilly-Version” schreiben würde.

Just my 2ct.

[rechtschreibfan]

Zitat:

Zitat von bishop

Damit erreicht man wesentlich eher die eigentliche “Zielgruppe” als wenn man eine “O'Reilly-Version” schreiben würde.

Just my 2ct.

da muss ich dir allerdings wirklich recht geben

grüße
axo

[Nightflyer]

Zitat:

Warum "verkaufst" Du das Tut als Browsergame-Sicherheits-Tutorial? Nenn es doch etwa "Grundlagen-Tutorial zur Sicherheit von PHP-Anwendungen" und Du triffst den Kern der Sache :-)

Hab das Tut für ein Browsergame-Entwicklerforum geschrieben.

[NoMoKeTo]

Code:

mysql_query("DELETE FROM `table` WHERE `id`=1 && `id`!=1 ")or die( mysql_error() );

Dann löscht er doch gar nix?
es müsste doch so lauten?

Code:

mysql_query("DELETE FROM `table` WHERE `id`=1 OR `id`!=1 ")or die( mysql_error() );

Oder?

[Funkey]

Zitat:

Zitat von NoMoKeTo

Code:

mysql_query("DELETE FROM `table` WHERE `id`=1 && `id`!=1 ")or die( mysql_error() );

Dann löscht er doch gar nix?
es müsste doch so lauten?

Code:

mysql_query("DELETE FROM `table` WHERE `id`=1 OR `id`!=1 ")or die( mysql_error() );

Oder?

Joa das stimmt.

[Nightflyer]

updated und ergänzt