Posts by dirkhd

    Nachdem ich meine letzte Nachricht abgeschickt hatte, fiel mir auch auf, dass dies ein wenig sinnbefreit ist. Da man ja den JS Quellcode sieht, bringt ja auch eine asynchrone Encryption nix, weil man ja die Keys bräuchte. Bitte mal ignorieren, diesen geistigen Fehlgriff :)


    Ja, es ist eine PHP-Api, genau. Geheim soll dabei sein, dass man sich als Nutzer in einen Bereich einloggt und in diesem dann eben Inhalte bekommt, die zu einem gehören. Für den eingeloggten Nutzer ist es somit nicht geheim, aber es soll auch nicht möglich sein logischerweise, dass man auf Inhalte, welche zu einem anderen Nutzer gehören, zugreifen kann.

    Aber ich kann doch im PHP checken, von wo die Anfrage kommt und somit IPs etc limitieren?


    Die Grundgedanken der Anwendung sind im Grunde wie folgt:


    1. Es ist eine SPA, bei der nur einzelne, user-bezogene Inhalte dynamisch aus einer MySQL Datenbank kommen. Neben öffentlichen Seiten gibt es eben auch einen internen Bereich.

    2. User loggt sich mit seinen Zugangsdaten ein, dieser Login-Vorgang läuft auch über Ajax (Axios)

    3. Wenn User verifiziert werden kann, so sieht er nun eben auf einer "internen" Seite persönliche Infos etc.

    Natürlich sind die SQL Statements NICHT im Client, sprich Browser zu sehen. Das SQL steht in der PHP Datei und der Browser ruft diese mit den maximal notwendigen Infos auf, um die Anfrage zu steuern.


    Das Konzept der Prepared Statements kannte ich als Begriff noch nicht (danke für den Tipp), auch wenn dies bereits so ähnlich schon umgesetzt ist.


    Was den Login betrifft: Aber nehmen wir einmal an, auch die Login-Anfrage ist über Ajax implementiert, da die Anwendung eine SPA ist und nur die Möglichkeit hat, über Ajax zu kommunizieren.


    Im Grunde war eben eine Überlegung sicherzustellen, dass z.B. das PHP Skript nur von einem bestimmten Server angesprochen wird.

    Oder arbeitet man da gar besser mit asynchroner Verschlüsselung der Parameter?

    Hallo zusammen,


    ich hänge gedanklich gerade an einer Stelle, bei der nun die Profis vermutlich die Hände über dem Kopf zusammenschlagen.


    Ich werkle an einer Applikation, welche ich über Vue (bzw. Quasar). Über Ajax greife ich zudem auf Inhalte von MySQL zu, wozu ich mir wiederum auf dem Server entsprechende PHP Skripte erstellt habe.


    Da es sich somit um eine Applikation handelt, von der im Grunde der komplette Quellcode im Browser als Javascript einsehbar ist, habe ich mich gefragt, was einen Angreifer davon abhalten würde, den Code zu kopieren und somit einfach eigene Anfragen an das PHP/MySQL zu senden. Da könnte der Angreifer dann ja walten, wie er wollte.


    Meine Frage nun: Kann ich das über z.B. HTACCESS einfach verhindern, dass das PHP Skript von einem fremden Server aufgerufen wird? Oder ist das quasi sowieso nicht möglich?`


    Vielen Dank für Hinweise :)

    DIrk

    Hallo tab,


    das mit dem public-Verzeichnis hatte ich schon probiert - aber des Rätsels Lösung war in der das die PHP Einstellung für das open_basedir.

    Da wäre ich im Leben nie drauf gekommen.


    Ich danke dir 1000 Mal :)


    VG
    Dirk

    Hallo zusammen,


    seit Tagen kämpfe ich damit Sulu CMS auf dem Server zum Laufen zu bekommen. Habe das Webhosting 4000 SE de a1. Auch das Einrichten der Datenbank und Anlegen eines Nutzers über SSH gelingt mir.

    Allerdings ist die Adminseite nicht unter /admin aufrufbar und ich weiß noch nicht mal so recht, wo ich weiter nach dem Problem suchen soll.


    Kennst sich zufällig mit Sulu jemand ein wenig aus?


    VG
    Dirk