AS3 Login (incl. Datenbankanbindung)

[Nico1994]

Zitat:

1.) Muss man den Sinn des Skriptes überhaupt finden. Den gibt es bisher nicht. Es ist weder client- noch serverseitig bisher möglich irgendwelche benutzerspezifischen Daten zu laden oder zu speichern.
Und wenn sich der Client nur auf die Rückgabe von "eingeloggt" verlässt um irgendetwas zu machen, dann ist es für jedes Kind manipulierbar.

Doch, sicher ist es serverseitig.
Funktionieren tut es ja einwandfrei. Ich hab in meine DB ne Tabelle mit einem Benutzer hinzugefügt und einloggen kann man sich über das Flashformular, ohne Probleme.

Und wenn man will kann man ja noch n registrierungsscript in php, und eins in as3 schreiben, dann kann man sich ganz normal registrieren, Daten in die DB eintragen lassen und die daten auch wieder abfragen.

Zitat:

3.) Der MD5 Hash des reinen Passwortes ist in zweierlei Hinsicht nicht geeignet. Es gibt erstens zu sehr vielen "Standardhashes" "Umkehrtabelle" und zweitens ist der Algorithmus auch angreifbarer als andere.
Deshalb fügt man mindestens einen Salt dem Passwort hinzu, bevor man es verschlüsselt.
EDIT: Und an das Passwort bzw. den Hash kommt man ja über eine SQL - Injection

Naja es kommt drauf an! Wenn du eben ein registrierungsscript schreibst, wählt der Benuzer sein eigenes PW. Wenn er ein möglichst gut durchdachtes wählt, mit mind. 16 Stellen und das dann auch noch aus Buchstaben und Zahlen besteht, wirst du kaum eine Tabelle finden wo solche Md5 Verschlüsselungen vorhanden sind.


Mir hilft das insofern weiter, da ich mich mit php um einiges besser auskenne als mit as3. Ich tausch somit einfach nur das php script aus, sodass ich die Sicherheitslücken schließe und wirklich nur die variablen für username und pw gleich lasse.

Oder gibt es auch Sicherheitslücken im As3 Code?

[bizz]

Zitat:

Zitat von Nico1994

Doch, sicher ist es serverseitig.
Funktionieren tut es ja einwandfrei. Ich hab in meine DB ne Tabelle mit einem Benutzer hinzugefügt und einloggen kann man sich über das Flashformular, ohne Probleme.

Aber was macht er dann, wenn er eingeloggt ist? Siehste nichts?
Er sieht dann das er eingeloggt ist. Toll!?
Du willst doch nicht wohl anhand einer clientseitigen boolean - Varibel nachher erlauben, das ein Benutzer Daten nachlädt.
Aber ich lasse mich mal überraschen?

Zitat:

Zitat von Nico1994

Naja es kommt drauf an! Wenn du eben ein registrierungsscript schreibst, wählt der Benuzer sein eigenes PW. Wenn er ein möglichst gut durchdachtes wählt, mit mind. 16 Stellen und das dann auch noch aus Buchstaben und Zahlen besteht, wirst du kaum eine Tabelle finden wo solche Md5 Verschlüsselungen vorhanden sind.

Eh, das ist doch schon ein bisschen realitätsfern. Manche Anbieter erlauben sogar nur maximal 8 - 10 Stellen um sicherzustellen das sich der Benutzer das merkt und die Chance geringer ist, das er sich das an den Monitor im Büro pappt.
Und solche Umkehr-Tabellen enthalten Abermillionen Einträge, so dass man wohl eine sehr große Anzahl an variierten Standardpasswörter , siehe Geburtsdatum, wieder herstellen könnte.

Aber heutzutage ist es eh standard in der professionellen Softwareentwicklung mit Datenbanken, das sowas gemacht wird. Wird ja sogar schon an der Uni geraten.

[Nico1994]

Zitat:

Zitat von bizz

Aber was macht er dann, wenn er eingeloggt ist? Siehste nichts?
Er sieht dann das er eingeloggt ist. Toll!?
Du willst doch nicht wohl anhand einer clientseitigen boolean - Varibel nachher erlauben, das ein Benutzer Daten nachlädt.
Aber ich lasse mich mal überraschen?

Achso meintest du das...


Ich würd das gerne bei meinem login ändern, aber um das zu ändern müsste ich mich wohl mehr mit as3 auskennen.

jedenfalls will ich einfach, dass wenn man sich richtig eingeloggt, auf die seite home.htm (eine html seite!) umgeleitet wird.

ActionScript:

var meldung_mc:meldung = new meldung(); // initialisieren der Meldung
meldung_mc.x = stage.stageWidth/2;  // richtet die Meldung mittig aus
meldung_mc.y = stage.stageHeight/2;
 
ok_btn.addEventListener(MouseEvent.MOUSE_UP, onLogin);  // Der "OK"-Schaltfläche die Funktion zuweisen
 
function onLogin(e:MouseEvent):void{
    var benutzerDaten:URLVariables = new URLVariables();
    
    // Definieren der Werte die übermittelt werden sollen
    benutzerDaten.benutzername = eingabeBenutzername_txt.text;
    benutzerDaten.psw = eingabePasswort_txt.text;
    
    
    var reqDaten:URLRequest = new URLRequest();
    reqDaten.data = benutzerDaten;
    reqDaten.url = "login.php"; // Speicherort der PHP
    reqDaten.method = URLRequestMethod.POST;
     
    var loaderDaten:URLLoader = new URLLoader();
    loaderDaten.load(reqDaten);
    
    loaderDaten.addEventListener(Event.COMPLETE, onRueckmeldung);
}
 
 
function onRueckmeldung(e:Event):void {
    // Daten aus der PHP-Datei auslesen
    var v:URLVariables = new URLVariables(URLLoader(e.target).data);
    
    var rueckgabeStatus:String = v.rueckgabeStatus; // nimmt den Status aus der PHP entgegen
    if(rueckgabeStatus == "eingeloggt"){
        this.meldung_mc.ausgabeMeldung_txt.text = "Erfolgreich angemeldet";
    }
    else{
        this.meldung_mc.ausgabeMeldung_txt.text = "Fehler bei der Anmeldung";
    }
    stage.addChild(meldung_mc); // erstellt das Meldungsfenster
 
}
 
 
// Der "OK"-Schaltfläche der Meldung eine Funktion zuweisen
this.meldung_mc.meldungOk_btn.addEventListener(MouseEvent.MOUSE_UP, onMeldungSchliessen);
function onMeldungSchliessen(e:MouseEvent):void{
    stage.removeChild(meldung_mc);  // schließt die Meldung
} 

diese Umleitung funktioniert leider nur nicht im login.php...denn die echo befehle werden ja an Flash zurückgesendet:

PHP-Code:

$ausgabeID = mysql_num_rows($ergebnis);    // zählt die Anzahl der Zeilen in der das Ergebnis zutrifft (hier max 1)
if ($ausgabeID != 0){
    echo "rueckgabeStatus=eingeloggt";
}
else{
    echo "rueckgabeStatus=fehler";
}

?> 


und flash gibt dann ne Meldung, entweder richtig eingloggt oder falsch.

Wenn man falsche Daten eingibt, kann rüg die Fehlermeldung erscheinen, doch wenn man die richtigen daten eingibt, soll man eben auf eine externe Seite umgeleitet werden (wie zB home.htm)...

Hier is der ausschnitt den ich ändern müsste:

ActionScript:

function onRueckmeldung(e:Event):void {
    // Daten aus der PHP-Datei auslesen
    var v:URLVariables = new URLVariables(URLLoader(e.target).data);
    
    var rueckgabeStatus:String = v.rueckgabeStatus; // nimmt den Status aus der PHP entgegen
    if(rueckgabeStatus == "eingeloggt"){
        this.meldung_mc.ausgabeMeldung_txt.text = "Erfolgreich angemeldet";
    }
    else{
        this.meldung_mc.ausgabeMeldung_txt.text = "Fehler bei der Anmeldung";
    }
    stage.addChild(meldung_mc); // erstellt das Meldungsfenster
 
} 

also statt:

ActionScript:

if(rueckgabeStatus == "eingeloggt"){
        this.meldung_mc.ausgabeMeldung_txt.text = "Erfolgreich angemeldet"; 

soll eben sowas in der art kommen:

ActionScript:

if(rueckgabeStatus == "eingeloggt"){
        header("Location: home.htm"); 

kann mir das einer richtig stellen?

Grüße
Nico

[dr monk]

Ich persöhnlich bin noch ein Anfänger was PHP angeht und in Flash lerne ich auch noch immer dazu.
Vor allem beim Thema Sicherheit besteht bei mir sicherlich noch nachholbedarf. Ich verspreche ja keine Patentlösung die jedem Hacker standhält.

Bei mir läuft das Skript (etwas abgewandelt) für die Anmeldung einer RIA im abgeschlossenen Firmen-Netzwerk. Wer dort mit Brute Force arbeitet wird sicher nicht an die unsensibelen Daten wollen. Die Benutzerdaten meines Programms sind hauptsächlich dazu da um zu dokumentieren wer was wann erstellt hat und das nur die Leute Sachen erstellen können die es auch dürfen (es gibt ansonsten immer ein paar Leute die was ausprobieren möchten ). Und das klappt soweit einwandfrei.

Wenn es Verbesserungsvorschläge gibt werde ich diese natürlich auch in meinem Code anwenden. Und die User hier haben von mehr Sicherheit sicherlich auch etwas. Im Gegensatz zum sagen das es an allen Ecken unsicher ist aber keine Alternaternative gegeben wird. Wenn das Programm als unsicher angesehen wird soll halt der Code vorrübergehend aus dem Anhang entfernt werden bis er sicher ist.
Wer ein sicheres Login braucht kann dieses bestimmt von Profis kaufen. Nutzen groß / Lernfaktor 0. Und um den Lernfaktor sollte es doch auch in gewissen Maßen gehen? Sonst würde ich die Sachen hier nicht einstellen...

Da ich das Programmieren nur als Hobby betreibe bitte ich mir Fehler zu verzeihen. Es ist ja nicht so, dass ich Schadcode unter Anfängern verteilen möchte um ihre Projekte zu sabortieren

MfG Monk

EDIT: @Nico

Dazu müsste navigateToURL genutzt werden: flash.net Details (ActionScript 3.0)

Aber es muss wohl wie bei den LiveDocs geschrieben ist mit Sessions gearbeitet werden da sonst jeder die HTML-Seite direkt aufrufen kann. Leider habe ich mich noch nicht mit diesen beschäftigt da ich hauptsächlich in den RIAs bleibe.

Und noch was zu dem nutzen des Logins. Wenn man sich eine Variable "eingeloggt" (oder wie auch immer) erstellt kann man diese beim einloggen ändern lassen und somit z.b. funktionen aktivieren bzw deaktiveren (mit if-Abfragen)

PHP-Code:

var eingeloggt:Boolean;
this.addEventListener(Event.ENTER_FRAME, onMeldungPruefen);
function onMeldungPruefen(e:Event):void{    // überwacht ob von den PHP-Funktionen Werte kommen
    if(login.rueckgabeStatus != ""){
        if(login.rueckgabeStatus == "eingeloggt"){
            this.meldung_mc.ausgabeMeldung_txt.text = "Erfolgreich angemeldet";
             eingeloggt = true;
             // hier könnte z.b. ne Funktion zum Zeigen/Verbergen von Komponenten stehen
        }
        else{
            this.meldung_mc.ausgabeMeldung_txt.text = "Fehler bei der Anmeldung";
             eingeloggt = false;
             // hier könnte z.b. ne Funktion zum Zeigen/Verbergen von Komponenten stehen
        }
.... 


[Nico1994]

Zitat:

Zitat von dr monk

EDIT: @Nico

Dazu müsste navigateToURL genutzt werden: flash.net Details (ActionScript 3.0)

Aber es muss wohl wie bei den LiveDocs geschrieben ist mit Sessions gearbeitet werden da sonst jeder die HTML-Seite direkt aufrufen kann.

Ja, schon klar. Ich kenn mich auch aus mit Sessions, die htm seite hat bereits eine Session überprüfung, aber ich hab keinen Plan wie ich das mit navigate to Url hinbiege.

flash.net Details (ActionScript 3.0)

Da sind ja einige varianten angegeben....welche wäre die richtige? Und wie verarbeitet ich das dann in deinen AS3 Code rein?

lg
Nico

[dr monk]

Bei "// hier könnte z.b. ne Funktion zum Zeigen/Verbergen von Komponenten stehen " könntest du folgenden Code verwenden:

PHP-Code:

navigateToURL(new URLRequest("http://www.example.com/")); 


Allerdings sei es besser eine try/catch Anweisung mit unterzubringen:

PHP-Code:

var url:String = "http://www.example.com/";

var request:URLRequest = new URLRequest(url);

try {

navigateToURL(request, '_blank');

} catch (e:Error) {

trace("Error occurred!");

} 


Ich hoffe das hilft dir weiter

[Nico1994]

also ....

ActionScript:

if(rueckgabeStatus == "eingeloggt"){
var url:String = "http://www.ddgames.3w4you.net/home.htm"; 
 
var request:URLRequest = new URLRequest(url); 
 
try { 
 
navigateToURL(request, '_blank'); 
 
} catch (e:Error) { 
 
trace("Error occurred!"); 
 
} 
else
{        
this.meldung_mc.ausgabeMeldung_txt.text = "Fehler bei der Anmeldung";    
}    
stage.addChild(meldung_mc); // erstellt das Meldungsfenster 
 

... einfach so austauschen?

[dr monk]

Müsste glaub gehen. Aber bei dir fehlt noch ein "}" ?! Wenn du Code mit dem PHP-Symbol einfügst verhaut er dir nicht die Formatierung(?) und es gibt keine Zahlen am Anfang jeder Zeile (bessere Copy&Paste Möglichkeiten).

Flash mekert ja eh wenn solche Zeichen beim Compilieren fehlen

p.s. du könntest auch statt

PHP-Code:

trace("Error occurred!"); 


PHP-Code:

this.meldung_mc.ausgabeMeldung_txt.text = "Seite nicht gefunden"; 


verwenden.

MfG Monk

[Grisuuu]

sorry wollte eigtl. nur das es sich jemand mal anschaut, weil es ist fast voll Funktionsfähig, viel. habe ich auch nur was falsch gemacht....wie du sagst "bizz" zumindest wird hier mal was wieder zurück gegeben...Email Adresse Freigeben, da hängt es bei mir zumindest....


Zitat:
Zitat von Grisuuu Beitrag anzeigen
bin zwar nicht @bizz aber....
hier wäre ein super gutes Login Tool von Iron_man aber leider funktioniert die bei mir nicht ganz...schade eigtl.

http://www.flashforum.de/forum/stuff...hp-106719.html

[Nico1994]

Zitat:

Zitat von dr monk

Müsste glaub gehen. Aber bei dir fehlt noch ein "}" ?! Wenn du Code mit dem PHP-Symbol einfügst verhaut er dir nicht die Formatierung(?) und es gibt keine Zahlen am Anfang jeder Zeile (bessere Copy&Paste Möglichkeiten).

Flash mekert ja eh wenn solche Zeichen beim Compilieren fehlen

p.s. du könntest auch statt

PHP-Code:

trace("Error occurred!"); 


PHP-Code:

this.meldung_mc.ausgabeMeldung_txt.text = "Seite nicht gefunden"; 


verwenden.

MfG Monk

werde die "Seite nicht gefunden" Variante verwenden

Du meinst das } ganz am Ende oder? Ja das hab ich versehentlich weggelassen.

So werds jetzt mal testen

[Nico1994]

Funktioniert leider net ganz...

hier der Ganze Code:

ActionScript:

var meldung_mc:meldung = new meldung(); // initialisieren der Meldung
meldung_mc.x = stage.stageWidth/2;  // richtet die Meldung mittig aus
meldung_mc.y = stage.stageHeight/2;
 
ok_btn.addEventListener(MouseEvent.MOUSE_UP, onLogin);  // Der "OK"-Schaltfläche die Funktion zuweisen
 
function onLogin(e:MouseEvent):void{
    var benutzerDaten:URLVariables = new URLVariables();
    
    // Definieren der Werte die übermittelt werden sollen
    benutzerDaten.benutzername = eingabeBenutzername_txt.text;
    benutzerDaten.psw = eingabePasswort_txt.text;
    
    
    var reqDaten:URLRequest = new URLRequest();
    reqDaten.data = benutzerDaten;
    reqDaten.url = "login.php"; // Speicherort der PHP
    reqDaten.method = URLRequestMethod.POST;
     
    var loaderDaten:URLLoader = new URLLoader();
    loaderDaten.load(reqDaten);
    
    loaderDaten.addEventListener(Event.COMPLETE, onRueckmeldung);
}
 
 
function onRueckmeldung(e:Event):void {
    // Daten aus der PHP-Datei auslesen
    var v:URLVariables = new URLVariables(URLLoader(e.target).data);
    
    var rueckgabeStatus:String = v.rueckgabeStatus; // nimmt den Status aus der PHP entgegen
    if(rueckgabeStatus == "eingeloggt"){var url:String = "http://www.ddgames.3w4you.net/home.htm";  
    var request:URLRequest = new URLRequest(url);  
    try {  
    navigateToURL(request, '_blank');  
    } catch (e:Error) { 
    this.meldung_mc.ausgabeMeldung_txt.text = "Seite nicht gefunden";   
    } 
    else
    {        
    this.meldung_mc.ausgabeMeldung_txt.text = "Fehler bei der Anmeldung";   
    }    
    stage.addChild(meldung_mc); // erstellt das Meldungsfenster 
 
}
 
// Der "OK"-Schaltfläche der Meldung eine Funktion zuweisen
this.meldung_mc.meldungOk_btn.addEventListener(MouseEvent.MOUSE_UP, onMeldungSchliessen);
function onMeldungSchliessen(e:MouseEvent):void{
    stage.removeChild(meldung_mc);  // schließt die Meldung
} 

1083: Syntaxfehler: else wurde nicht erwartet.
Zeile 39

kann mir jmd sagen wieso else da nicht erwartet wird?

[dr monk]

Du musst die If-Abfrage auch erst abschließen und nicht darin die Else-Abfrage schreiben. Für solche Sachen ist eine gute Struktur im Doukument sehr hilfreich.
Ansonsten musst du (wie ich gerade) öffnende und schließende Klammern zählen ({})

MfG Monk

[bizz]

Zitat:

Zitat von Nico1994

kann mir jmd sagen wieso else da nicht erwartet wird?

Weil davor eine geschlossene geschweifte Klammer fehlt (}), die die vor dem else steht, gehört zu catch -Block.

[Nico1994]

Ok ich hab den fehler folgendermaßen behoben:

hab das else weg, stattdessen:

ActionScript:

if(rueckgabeStatus == "fehler")
{        
    this.meldung_mc.ausgabeMeldung_txt.text = "Fehler bei der Anmeldung";   
    }    
    stage.addChild(meldung_mc); // erstellt das Meldungsfenster 
}
} 

Is das Okay, oder ein unsaubere variante?

[Nico1994]

Zitat:

Zitat von bizz

Weil davor eine geschlossene geschweifte Klammer fehlt (}), die die vor dem else steht, gehört zu catch -Block.

oh ok werds gleich ausprobieren