Eine Frage zur Sicherheit eines Browsergames

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Eine Frage zur Sicherheit eines Browsergames

    Guten Tag alle zusammen
    ich bin ganz neu hier und möchte euch gleich mit einer Frage begrüßen - ich hoffe ich poste mein Problem im richtigen Forum

    Ich bin momentan dabei ein eigenes Browsergame (RPG) zu programmieren (in PHP) und habe eine Sicherheitslücke gefunden, bei der ich keine Ahnung habe wie ich sie schließen kann.

    Undzwar kann man sich einloggen (mit verschlüsseltem Passwort etc.), wobei die Daten aus der Datenbank abgefragt werden. Nun betritt man die Welt (Daten wie Spielername und heldenname werden in einem Formular als hidden übergeben). Da tritt mein Problem auf. Wenn man die Spielwelt nun betreten hat kann jeder PHP Anfänger sich ganz einfach als ein anderer Benutzer einloggen indem er hinter die URL "?player=<benutzername>&held=<beliebieger held>" schreibt. Da man im Quelltext die Hiddenforms auch sehen kann ist es also auch kein problem die variablenname rauszufinden.
    Jetzt wollte ich wissen ob es einen Weg gibt entweder seine Hiddeneinträge irgendwie zu verschlüsseln sodas da z.b. steht "?player=025112023215401"
    Da ich aber wie gesagt noch Anfänger bin hab ich keine Ahnung wie ich sowas mache
    Auch eine andere Lösung würde ich natürlich schätzen, doch kenne ich bei weitem nicht alle möglichkeiten sowas zu machen.

    Ich bedanke mich schonmal im Voraus und freue mich auf eine baldige Lösung
    Zuletzt geändert von Mindtraveller; 03.03.2005, 09:10.

  • #2
    Session ist dein Freund.
    The Human Mirror - Mein Blog!
    www.sonicsense.de - The future of music!

    Kommentar


    • #3
      Sieh dir dazu am besten das LogIn-Tutorial von mrhappiness an.
      it's not a bug,
      it's a feature!

      Kommentar


      • #4
        wo finde ich denn dieses LogIn tutorial? <-- N00b + faul zu suchen

        Kommentar


        • #5
          Original geschrieben von Mindtraveller
          faul zu suchen
          damit machst du dir hier wenig Freunde.
          mfg
          marc75

          <Platz für anderes>

          Kommentar


          • #6
            ok, ich nehms zurück- ich suche ja schon immerhin seit fast 2 wochen bei google und co war aber anscheinend nicht sehr gründlich.
            edit 1: (Das Tutorial ist nicht da oben bei Tutorials aufgelistet )
            edit 2: Habs gefunden. Danke schonmal. (Jetzt heist es lesen und lernen)
            Zuletzt geändert von Mindtraveller; 03.03.2005, 09:34.

            Kommentar


            • #7
              kauf dir n gutes Buch, das ist immer die beste Investition

              Kommentar


              • #8
                Bei Büchern gibs kein copy+paste
                nein im ernst... was wäre denn ein buch, das du empfehlen würdest? bisher benutze ich als hauptquellen meiner infos das php tut von schattenbaum und due quakenet php guide mit mysql...

                Kommentar


                • #9
                  Zum Thema Buch: Forensuche benutzen, wurde hier recht oft in letzter Zeit durchgekaut....!
                  Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
                  var_dump(), print_r(), debug_backtrace und echo.
                  Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
                  Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
                  Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

                  Kommentar


                  • #10
                    Bei Büchern gibs kein copy+paste
                    ja, buddha sei dank!

                    hf:
                    www.schattenbaum.net
                    www.php-faq.de
                    www.php.net (!)
                    http://tut.php-q.net

                    Kommentar


                    • #11
                      OffTopic:
                      Penizillin, du postest das ja recht häufig hier, wieso machste dir das nich in deine Sig rein? Dann musste nur nen Verweis auf die Signatur posten... Is imho bequemer
                      Für alle die Fehler suchen, gibts gratis tolle Debuggingmöglichkeiten:
                      var_dump(), print_r(), debug_backtrace und echo.
                      Außerdem gibt es für unsere Neueinsteiger ein hervorragendes PHP Tutorial zu PHP 4 und PHP 5 (OOP)
                      Es heißt $array['index'] und nicht $array[index]! Und nein, das ist nicht egal!
                      Dieses Thema lesen, um Ärger im Forum und verzögerte Hilfen zu vermeiden.

                      Kommentar


                      • #12
                        thanks

                        Kommentar


                        • #13
                          OffTopic:
                          hab in meinem Ultimativen Organizer Programm, dessen namen ich nicht nennen möchte, um für microsoft outlook 2003 keine werbung zu machen, eine notitz mit den zeilen angelegt, weil ich mich oft darauf beziehe.

                          bin aber kein freund der signaturen, weil es (imho) unnötige verschwendung vom wertvollen einsehbaren bereich der bildschirmes ist und eh immer ignoriert wird.

                          Kommentar


                          • #14
                            Also ich hab das jetzt mit dem script von mrhappiness gemacht und das klapp auch ganz gut ... nur ... ich bekomme immer (auf jeder Seite) diese Fehlermeldung:
                            Warning: session_start(): Cannot send session cache limiter - headers already sent (output started at <mein-anbieter-pfad>/login.php:2) in <mein-anbieter-pfad>/login.php on line 3
                            hat wer ne ahnung woran das liegen koennte?
                            Zuletzt geändert von Mindtraveller; 03.03.2005, 17:48.

                            Kommentar


                            • #15
                              headers already sent

                              d.h. ausgabe hat vor dem abschicken der headers stattgefunden. unrichtig.

                              Kommentar

                              Lädt...
                              X