pigfacejoe - So 18.01.09 14:35
Titel: Problem mit Manipulation von Variablen

---

Hi,
Ich habe folgendes Problem:
Ich schreibe gerade ein kleines Spiel, bei dem man Punkte bekommt und diese Punkte lade ich dann über ein PHP Script in eine MySQL Datenbank. Jetzt kann man nur leider mit bestimmten Programmen auf die Variable im Programm, in der ich die Punktzahl speicher, zugreifen und manipulieren.
Weiss jemand von euch , wie ich das ändern könnte?

jfheins - So 18.01.09 14:39

---

Das ist dein geringstes Problem ;) :mrgreen:

Das Scheunentor ist eher die unverschlüsselte Verbindung zum PHP-Skript. Die kann an nämlcih ohne großen Aufwand loggen und nachahmen (ggf. mit einem höheren Punktestand)

Als einfache Maßnahme kannst du versuchen, die Zahl nicht als integer oder so zu speichern, sondern vll. als Single an mehreren Stellen sodass man nicht mehr einfach suchen, finden, ersetzten kann.

pigfacejoe - So 18.01.09 14:42

---

und wie verschlüsselt man so eine verbindung?

jfheins - So 18.01.09 14:47

---

https also SSL benutzen ;)

Da das aber vermutlich zu teuer für dich ist, wirst du dich damit abfinden müssen, dass deine Daten unverschlüsselt übertragen werden.

Falls du mal sehen willst wie einfach das ist, schick mir das Programm per PN und ich liefere dir n Screenshot ;)
(Auf Wunsch auch mit Zeitangabe)

pigfacejoe - So 18.01.09 15:00

---

ist die verbindung PHP Script->MYSQL Server auch so unsicher?

jfheins - So 18.01.09 15:50

---

Nein, wenn das PHP-Script auf dem gleichen Server liegt, ist diese Verbindung sicher.

Vorrausgesetzt natürlich, das PHP Skript ist sicher. (Also z.B. die Übergabe auf int casten)

pigfacejoe - So 18.01.09 16:10

---

also das mysql passwort kann man nicht auslesen?

BenBE - So 18.01.09 16:53

---

jfheins hat folgendes geschrieben :

https also SSL benutzen ;) Da das aber vermutlich zu teuer für dich ist, wirst du dich damit abfinden müssen, dass deine Daten unverschlüsselt übertragen werden.

http://www.cacert.org/ stellt seit Jahren SSL-Zertifikate kostenlos aus; u.a. auch welche für Code-Signing (werd ich mir demnächst holen, wenn ich bei Gelegenheit mal zu noch nem Assurer komme). Setze die SSL-Zertifikate auf meinem Server selbst ein, einziger Nachteil ist, dass CAcert derzeit leider noch nicht von Haus aus in den Trust-Listen der Browser drin ist.

jfheins hat folgendes geschrieben :

Falls du mal sehen willst wie einfach das ist, schick mir das Programm per PN und ich liefere dir n Screenshot ;) (Auf Wunsch auch mit Zeitangabe)

Das ist doch keine Herausforderung bei ner unverschlüsselten Verbindung. Zeiog mir das mit ner SSL-Verbindung mit nem RSA 8192-Bit Zertifikat (solche sind bei mir im Einsatz), dann denk ich drüber nach, Ehrfurcht zu zeigen. Wireshark und OllyDbg bedienen zu können, gehört eigentlich zur Grundausstattung eines sicherheitsbewussten Programmierers.

jfheins hat folgendes geschrieben :

Nein, wenn das PHP-Script auf dem gleichen Server liegt, ist diese Verbindung sicher.

Wenn ich den Server anderweitig kompromittieren kann nicht.

jfheins hat folgendes geschrieben :

Vorrausgesetzt natürlich, das PHP Skript ist sicher. (Also z.B. die Übergabe auf int casten)

Am besten hilft gegen sowas immer noch

Auf int casten wäre aber schon mal ein Anfang ...

pigfacejoe hat folgendes geschrieben :

also das mysql passwort kann man nicht auslesen?

Nicht auf offiziellem Wege, wenn die Scripts sauber programmiert UND dein Softwarestand nicht anderweitig Lücken aufweist, gibt es da theoretisch keinen Ansatzpunkt. Da PHP aber praktisch ein Scheunentor [http://secunia.com/advisories/product/13446/?task=statistics] ist, sollte man sein Script sauber programmieren und daher die Möglichkeiten des Nutzers für Angriffe stark verringern.

Den meisten Leuten wird aber der Punktestand eines einfachen Spiels viel zu unwichtig sein, als dass sie sich die Mühe machen würden, da etwas dran zu manipulieren zu wollen.