AS3 Login (incl. Datenbankanbindung)

[dr monk]

Hallo zusammen!

Im Rahmen meines autodidaktischen Lernprozesses bin ich an den Punkt gekommen wo es um die Autorisierung und Anlage von Benutzern geht.

Das Ganze ist im Grunde einfacher als meinen ersten Satz zu lesen

Was kann das Programm: Dieses Programm ermittelt in der Datenbank ob der User existiert und ob dieser das richtige Passwort angegeben hat. (Das PSW ist MD5-Verschlüsselt in der Datenbank)
Ausserdem kann man sich neu registrieren woraufhin ein Zufallspsw. (simpel) erstellt wird. Ausserdem wird überprüft ob der Benutername schon vergeben ist.

Was dieses Programm noch nicht kann: Das Programm erstellt nur einfache Zufallspasswörter und zeigt diese dem Benutzer nach dem erfolgreichen Anlegen an. Normalerweise wird sowas dem Benutzer per Mail zugeschickt...
Auch die Option "Passwort vergessen" habe ich erstmal raus gelassen da ich für das Ganze auch eine entsprechende E-Mailadresse bräuchte.
Die Eingabefelder werden nicht auf Inhalt geprüft.
Das Programm soll nur eine Hilfestellung für eure Projekte darstellen. Auf dessen Basis kann man ja das Skript weiter ausbauen wie man es braucht.

Das Paket besteht aus 3 Dateien: 1x login.fla [CS4], 1x login.php, 1xbenutzer.sql

- Um das Programm verwenden zu können müssen sich die 2 login-Dateien auf einem (Web)-Server befinden (z.B. Xampp).
Die Login-Fla muss dafür in Flash zur SWF/HTML kompiliert werden
- In der SQL-Datenbank des Servers muss eine Tabelle für die Benutzer vorhanden sein. Dazu kann man die Benutzer.sql importieren.
- Anschließend muss in der login.php die Daten für den Server angegeben werden.

Wurde dies alles richtig ausgeführt kann man einen neuen Benutzer über die Maske eingeben. Sich versuchen anzumelden macht wenig Sinn weil noch keine Benutzer vorhanden sind (auf solche Abfragen oder die Textfeldabfragen habe ich aus Zeitgründen und der Einfachheit halber verzichtet. Sowas ist aber auch leicht nachzutragen )

Wurde ein neuer Benutzer angelegt könnt ihr euch mit dem angegeben Benutzername und dem angezeigten Zufallspsw anmelden. Ihr könnt auch in eurer Datenbank ein anderes MD5-verschlüsseltes PSW angeben...

----------------

Ich muss noch dazu sagen, dass ich relativ wenig mit Klassen arbeite. Das ganze gehört sicherlich besser in eine Klasse welche man dann in sein Projekt übernehmen kann. Wahrscheinlich werde ich das sogar machen wenn ich es später mal brauche (sollte es bis dahin noch keine Klasse davon geben werde ich sie posten).

Zum Anderen muss ich gestehen, dass ich nicht wirklich fit in php bin. Auch dort bin ich noch am Lernen und würde mich freuen wenn in diesem Bezug Tipps kommen wie das Skript sicherer werden kann.

Auch sonst bin ich über konstruktive Kritik dankbar!

-----------------

Ich hoffe ihr könnt es gebrauchen

MfG Monk

p.s.: sry für die einzelnen Parts... FF will es so mit seinen Größenbeschränkungen...

2 Posts weiter gibts das Ganze als CS3 welches konfortabler gepackt werden konnte.

[salazar]

hi,
immer eine super sache wenn leute stuff bereitstellen!
hätteste statt *.rar *.zip genommen wärste mit der hälfte an gepackten files ausgekommen
ich würde aus der CS4 fla eine CS3 fla machen... damit erreichst du mehr leute.

cheers,
sal

[dr monk]

Hab bei WinRar keine Option gesehen Zip-Dateien zu splitten. Und für jeden Mist ein Programm auf dem Rechner zu haben ist bei der alten Mühle hier auch nicht das Wahre.

Aber die CS3 ist ja um einiges Kleiner als die CS4 und passt in den Anhang

Anbei auch noch die 2 anderen Dateien im extra Archiv

[dr monk]

Ich habe mal versucht das bestehende Programm in Klassen zu Packen.
Wie gesagt, ich bin noch nicht so fit mit Klassen. Wenn es dort Verbesserungen gibt -> nur her damit!

Die PHP-Daten sind die gleichen wie oben.

MfG Monk

[Grisuuu]

hallole,

wenn ich die fla öffnen möchte dann zeigt es mir unerwartetes Dateiformat an...

komisch, habe Flash 8pro.

[Martin Kraft]

Oben steht doch das es eine CS3 bzw. CS4 Flas sind. Mit Flash 8 wirst Du die also nicht aufbekommen...

[Grisuuu]

ohhh sorry, könntest du mir die bitte Expotieren....weil ich kann die nicht importieren grinsssssssss

[Martin Kraft]

Sorry - Ich habe die CS4 und kann leider min. CS3 exportieren.

[Grisuuu]

ok, danke, lade mir grade CS5 als Testversion runter....

[bizz]

1.) SQL Injections werden nicht abgefangen
2.) Passwort nur als einfachen MD5 Hash abgespeichert
3.) Die Rückgabe "eingeloggt" kann dem Flash-Movie vorgegaukelt werden
4.) Der Benutzerlogin hat bei dir eigentlich keinen Sinn, ist nämlich mit keiner weiteren Funktionalität (wie andere Daten lesen/speichern) usw. verbunden
5.) Speicherung der Logindaten für die Datenbank in einem abrufbaren File, siehe wenn PHP-Interpreter ausfällt.

Also, auch wenn du es gut von dir gedacht ist und du noch lernst, aber sowas sollte man auf keinen Fall, jemals unter die Leute bringen.

Meine Empfehlung wäre wirklich entweder das Skript ordentlich zu überarbeiten oder den Thread zu löschen.

@bizz: wie sähen deiner Meinung nach alternative Scripte aus? Wir lernen ja alle gern dazu...

[Grisuuu]

bin zwar nicht @bizz aber....
hier wäre ein super gutes Login Tool von Iron_man aber leider funktioniert die bei mir nicht ganz...schade eigtl.

http://www.flashforum.de/forum/stuff...hp-106719.html

[Nico1994]

Zitat:

Zitat von bizz

1.) SQL Injections werden nicht abgefangen
2.) Passwort nur als einfachen MD5 Hash abgespeichert
3.) Die Rückgabe "eingeloggt" kann dem Flash-Movie vorgegaukelt werden
4.) Der Benutzerlogin hat bei dir eigentlich keinen Sinn, ist nämlich mit keiner weiteren Funktionalität (wie andere Daten lesen/speichern) usw. verbunden
5.) Speicherung der Logindaten für die Datenbank in einem abrufbaren File, siehe wenn PHP-Interpreter ausfällt.

hm, die Sicherheitslücken die du da aufzählst beziehen sich fast nur auf den php Teil, oder?

Man kann doch einfach die var für benutzername und pw übernehmen und das restliche php script neu gestalten?

Nur md5? Md5 verschlüsselungen bestehen doch aus 30 oder mehr Zeichen!? In wiefern ist das nicht sicher?

MfG

[bizz]

Zitat:

Zitat von agedoubleju

@bizz: wie sähen deiner Meinung nach alternative Scripte aus? Wir lernen ja alle gern dazu...

Die, die meine angesprochenen Fehler nicht beinhalten.
1.) Hey und ich sage nur meine Meinung zu dem Skript und will andere vor Schaden bewahren.
Wenn das Kind einmal in den Brunnen gefallen ist, d.h. Daten weg oder ganze Seite manipuliert, dann ist es meist schwerer das wieder wett zu machen.

Zitat:

Zitat von Grisuuu

bin zwar nicht @bizz aber....
hier wäre ein super gutes Login Tool von Iron_man aber leider funktioniert die bei mir nicht ganz...schade eigtl.

http://www.flashforum.de/forum/stuff...hp-106719.html

1.) Super gut und funktioniert nicht, ist doch ein Widerspruch, oder?
Ne, da in dem Script wird vorausgesetzt, das register_globals serverseitige aktiviert sind. Und das ist so 1999.
Wenigstens macht es das was ein Login soll, spezielle Daten für einen User zurückgeben.

Zitat:

Zitat von Nico1994

hm, die Sicherheitslücken die du da aufzählst beziehen sich fast nur auf den php Teil, oder?

1.) Muss man den Sinn des Skriptes überhaupt finden. Den gibt es bisher nicht. Es ist weder client- noch serverseitig bisher möglich irgendwelche benutzerspezifischen Daten zu laden oder zu speichern.
Und wenn sich der Client nur auf die Rückgabe von "eingeloggt" verlässt um irgendetwas zu machen, dann ist es für jedes Kind manipulierbar.

Zitat:

Zitat von Nico1994

Man kann doch einfach die var für benutzername und pw übernehmen und das restliche php script neu gestalten?

2.) Ja, und noch einen Sinn hinzufügen

Zitat:

Zitat von Nico1994

Nur md5? Md5 verschlüsselungen bestehen doch aus 30 oder mehr Zeichen!? In wiefern ist das nicht sicher?

3.) Der MD5 Hash des reinen Passwortes ist in zweierlei Hinsicht nicht geeignet. Es gibt erstens zu sehr vielen "Standardhashes" "Umkehrtabelle" und zweitens ist der Algorithmus auch angreifbarer als andere.
Deshalb fügt man mindestens einen Salt dem Passwort hinzu, bevor man es verschlüsselt.
EDIT: Und an das Passwort bzw. den Hash kommt man ja über eine SQL - Injection


Fazit:
Ich will keinen irgendwie auf den Schlips treten, aber wenn etwas ziemlich fahrlässig programmiert ist, dann sollte man es nicht veröffentlichen. Zwar wissen es Anfänger oft nicht besser, aber wenn sie dann die erste Schadensersatzforderung eines Unternehmers in der Hand halten, wissen sie das sie sich mehr mit der Sicherheit auseinandersetzen müssen.
Und das Mein - Code - Phänomen sollte doch heutzutage auch nicht mehr das größte Problem sein.

Zitat:

Ich will keinen irgendwie auf den Schlips treten, aber wenn etwas ziemlich fahrlässig programmiert ist, dann sollte man es nicht veröffentlichen.

Haben wir ja nun verstanden. Aber nur kritisieren, aber keine alternativen Lösungen anbieten, kann jeder . Also, wie sehen sichere Scripte aus?