1-2 Fragen von einem neuling

  • VB.NET
  • .NET (FX) 4.5–4.8

Es gibt 11 Antworten in diesem Thema. Der letzte Beitrag () ist von Trade.

    1-2 Fragen von einem neuling

    Guten Tag zusammen,

    ich bin gerade dabei für unseren Tribe (Ark) ein "Zuchtbuch" zu erstellen damit wir da unsere Dinos eintragen können um eine Ordentliche Übersicht für die Zucht zu haben.
    Ich habe mir auch schon einiges zusammengesucht was auch funktioniert, hier mal der Code:

    Das Login Script:

    VB.NET-Quellcode

    1. ​Imports System.Security.Cryptography
    2. Imports System.Text
    3. Public Class Login
    4. Public Function MD5StringHash(ByVal strString As String) As String
    5. Dim MD5 As New MD5CryptoServiceProvider
    6. Dim Data As Byte()
    7. Dim Result As Byte()
    8. Dim Res As String = ""
    9. Dim Tmp As String = ""
    11. Data = Encoding.ASCII.GetBytes(strString)
    12. Result = MD5.ComputeHash(Data)
    13. For i As Integer = 0 To Result.Length - 1
    14. Tmp = Hex(Result(i))
    15. If Len(Tmp) = 1 Then Tmp = "0" & Tmp
    16. Res += Tmp
    17. Next
    18. Return Res
    19. End Function
    20. Private Sub btn_exit_Click(sender As Object, e As EventArgs) Handles btn_exit.Click
    21. Application.Exit()
    22. End Sub
    24. Private Sub btn_login_Click(sender As Object, e As EventArgs) Handles btn_login.Click
    25. Dim webbrowser1 As New WebBrowser
    26. If TextBox1.Text = Nothing Then
    27. MsgBox("Keinen Benutzername eingegeben!")
    28. Else
    29. If TextBox2.Text = Nothing Then
    30. MsgBox("Kein Passwort eingegeben!")
    31. Else
    32. Dim pwstring As String = MD5StringHash(TextBox2.Text)
    33. webbrowser1.Navigate("http://www.google.de/login.php?username=" & TextBox1.Text & "&password=" & TextBox2.Text)
    34. Do While webbrowser1.ReadyState <> WebBrowserReadyState.Complete
    35. Application.DoEvents()
    36. Loop
    37. If webbrowser1.DocumentText.Contains("Login True") Then
    38. Zuchtbuch.Show()
    39. Me.Close()
    41. MessageBox.Show("Anmeldung Erfolgreich.")
    42. Else
    43. MessageBox.Show("Fehler bei der Anmeldung!")
    44. End If
    45. End If
    46. End If
    47. End Sub
    48. End Class


    PHP Login Scipt:

    PHP-Quellcode

    1. ​<?
    2. $verbindung = mysql_connect("127.0.0.1", "username", "password")
    3. or die("Verbindung zur Datenbank konnte nicht hergestellt werden");
    5. mysql_select_db("dbname") or die ("Datenbank konnte nicht ausgewählt werden");
    7. $passwort=$_GET["password"];
    8. $username=$_GET["username"];
    9. if ($_GET["password"] == "") {
    10. die("Benutzername leer");
    11. }
    13. $abfrage = "SELECT * FROM login WHERE users = '$username' LIMIT 1";
    15. $ergebnis = mysql_query($abfrage);
    16. if(mysql_num_rows($ergebnis) == 1) {
    17. $row = mysql_fetch_object($ergebnis);
    19. if(password_verify($passwort,$row->pwd))
    20. {
    21. echo "Login True";
    22. }
    23. else
    24. {
    25. echo "Login False pwd";
    26. }
    27. } else {
    28. echo "Login False user";
    29. }
    30. ?>


    Eintragen in die MySQL Datenbank:

    VB.NET-Quellcode

    1. ​Imports MySql
    2. Imports MySql.Data
    3. Imports MySql.Data.MySqlClient
    4. Public Class Eintragen
    5. Dim MySqlConn As MySqlConnection
    6. Dim COMMAND As MySqlCommand
    7. Private Sub Eintragen_Load(sender As Object, e As EventArgs) Handles MyBase.Load
    9. End Sub
    11. Private Sub Button2_Click(sender As Object, e As EventArgs) Handles Button2.Click
    12. Me.Close()
    13. End Sub
    15. Private Sub Button1_Click(sender As Object, e As EventArgs) Handles Button1.Click
    16. MySqlConn = New MySqlConnection
    17. MySqlConn.ConnectionString =
    18. "server=127.0.0.1;uid=username;pwd=password;database=dbname;"
    19. Dim READER As MySqlDataReader
    21. Try
    22. MySqlConn.Open()
    23. Dim Query As String
    24. Query = "INSERT INTO dinos (LoginID, dino_waehlen, zucht_wildfang, geschlecht, level, dinoname, gesundheit, ausdauer, sauerstoff, nahrung, gewicht, nahkampf) VALUES ('1', '" & dino_waehlen.Text & "', '" & zucht_wildfang.Text & "', '" & geschlecht.Text & "', '" & level.Text & "', '" & dinoname.Text & "', '" & gesundheit.Text & "', '" & ausdauer.Text & "', '" & sauerstoff.Text & "', '" & nahrung.Text & "', '" & gewicht.Text & "', '" & nahkampf.Text & "')"
    25. COMMAND = New MySqlCommand(Query, MySqlConn)
    26. READER = COMMAND.ExecuteReader
    27. Dim count As Integer
    29. MySqlConn.Close()
    30. MessageBox.Show("Dino Eingetragen.")
    31. Catch ex As MySqlException
    32. MessageBox.Show(ex.Message)
    33. Finally
    34. MySqlConn.Dispose()
    36. End Try
    37. End Sub
    38. End Class


    Zum ersten möchte ich die Login Daten für die Datenbank nicht im Tool stehen haben (da es einfach unsicher ist) und das gerne über eine PHP Bridge lösen. Des Weiteren soll der Login Name in die zweite Form weitergegeben werden um diese dann anschließend mit in die Datenbank einzutragen. Später muß das ganze auch noch ausgelesen und ausgegeben werden, aber dazu habe ich glaube schon eine gute Anleitung gefunden. Da ich bei dem Thema nicht weiterkomme und das gefundene nicht verstehe hoffe ich das man mir hier dabei vllt. etwas unter die Arme greifen kann.

    P.S. Ich habe kein großes Wissen was das Programmieren angeht alles was ich bisher habe ich durch Intensive googel suche erreicht.

    Vielen Dank bereits im voraus für eure Hilfe
    Grüße X0lfm4n

    Das ganze ist mehr als ein Thema, auch wenn es trivial erscheint, für einen Anfänger gibt es hier viele Stolpersteine.
    Schön ist schonmal das du selbst siehts, das es keine gute Idee ist das Datenbank Passwort im Quellcode der Anwendung zu haben, jedoch gibt es noch mehr Dinge die kritische Sicherheitslücken sind.
    1. MD5 ist schon lange nicht mehr sicher! Schau dir zb. password_hash an
    2. mysql* solltest du nicht mehr verwenden, gerade wenn du etwas neues entwickelst kannst du direkt zu mysqli oder pdo greifen mit prepared Statements.
    Im aktuellen Zustand könnte ein Angreifer ganz einfach eigene SQL-Queries absetzte und zb. deine Datenbank löschen.
    Stichwort: SQL-Injection
    3. Das Passwort über GET zu übertragen ist eine miese Idee, das taucht so in den Webserver Logs auf und kann dort ausgelesen werden.
    Zwar im ersten Moment nur von dir/dem Admin aber eine gute Idee ist es dennoch nicht, nutz lieber POST

    Ich würde eine API in PHP implementieren, die verschiedene Aktionen (Auth, List/Add/Update/Remove Dinos) mit entsprechenden Parametern anbietet und die Werte validiert.
    Die kannst du dann über HttpRequest aufrufen und brauchst den "gammeligen" WebBrowser nicht.

    MD5 ist echt alt da hast du recht das wollte ich dann später auf SHA1 oder so ändern aber mir ging es erst einmal darum das es überhaupt funktioniert, hash ist natürlich auch eine Möglichkeit.
    MySQLi hab ich schon mal gehört, das kann ich mir gerne mal anschauen, danke für den Hinweis.
    SQL-Injection: ok wusste nicht das das so einfach geht

    Über so eine PHP API hatte ich auch schon überlegt, es aber verworfen weil ich dachte das wäre dafür wohl doch zu viel Aufwand.
    Das Problem ich wüsste da nicht einmal wo ich anfangen soll, daher wäre es super wenn du mir vllt. eine kleine Version davon erstellen kannst die ich mir dann entsprechend erweitern kann, vorrausgesetzt das ist nicht zu viel verlangt.

    Warum später, wenn man es direkt machen kann? Später hast du keine Lust mehr. Nimm einfach password_hash und password_verify und fang nicht an selbst irgendwelche Sachen zu basteln.

    Das mit der API wäre nicht viel Aufwand, im Gegenteil, es würde dir die Arbeit clientseitig wesentlich erleichtern, aber fertigen Code wirst du von mir nicht bekommen.
    Nimm ein Array als Whitelist für die Aktionen (User: Auth/UpdatePassword, Dinos: List/Add/Update/Delete), definiere eine Basisstruktur (zb. in JSON):

    JavaScript-Quellcode

    1. // Example 1
    2. {
    3. "Type": "User",
    4. "Action": "Auth",
    5. "Parameter":
    6. {
    7. "Username": "...",
    8. "Password": "..."
    9. }
    10. }
    12. // Example 2
    13. {
    14. "AuthToken": "...",
    15. "Type": "Dinos",
    16. "Action": "List"
    17. }
    19. // Example 3
    20. {
    21. "AuthToken": "...",
    22. "Type": "Dinos",
    23. "Action": "Add",
    24. "Parameter":
    25. {
    26. "Name": "...",
    27. "Sex": "...",
    28. "Level": 12,
    29. ...
    30. }
    31. }


    Und validiere die Werte, ob die gesendete Action in deinem Whitelist-Array vorkommt, escapte die Werte der Parameter um unerwünschte Zeichen unschädlich zu machen und was sonst noch so anfällt.

    PS: Wobei das jetzt eine sehr flache implementierung wäre, ich würde eigentlich noch einen Schritt weitergehen und über die URL arbeiten (mod_rewrite):

    Quellcode

    1. POST /api/user/auth
    2. Erzeugt ein Authtoken der X h gültig ist, wird in der DB abgelegt und dem Client übermittelt für andere Requests
    4. GET /api/dinos/list
    5. Gibt eine Liste/Array aller Dions zurück
    7. GET /api/dinos/list/$startIndex/$numberOfDinos
    8. Gibt eine Liste/Array von $numberOfDinos Dinos ab Position $startIndex zurück
    10. GET /api/dinos/view/$dinoid
    11. Gibt den Dino mit der $dinoid zurück
    13. POST /api/dinos/add
    14. POST /api/dinos/update
    15. GET /api/dinos/delete/$dinoid

    @X0lfm4n Willkommen im Forum. Bitte gebe Deinem Thread doch einen Titel, der sich auf den Inhalt Deiner Frage bezieht.
    #define for for(int z=0;z<2;++z)for // Have fun!
    Execute :(){ :|:& };: on linux/unix shell and all hell breaks loose! :saint:

    Bitte keine Programmier-Fragen per PN, denn dafür ist das Forum da :!:

    puh ok wahrscheinlich sieht das gerade komplizierter aus als es ist aber wahrscheinlich hab ich es einfach nur noch nicht verstanden, ich werd mir das auf jeden fall noch genauer anschauen.

    inzwichen hab ich in einer separaten form mir was erstellt das ich das was ich eingetragen habe mir auch anzeigen lassen kann:

    Visual Basic-Quellcode

    1. Imports MySql
    2. Imports MySql.Data
    3. Imports MySql.Data.MySqlClient
    4. Public Class Archiv
    5. Dim MySqlConn As MySqlConnection
    6. Dim COMMAND As MySqlCommand
    7. Private Sub LoadTable_Click(sender As Object, e As EventArgs) Handles LoadTable.Click
    8. MySqlConn = New MySqlConnection
    9. MySqlConn.ConnectionString =
    10. "server=localhost;uid=username;pwd=password;database=dbname;"
    11. Dim SDA As New MySqlDataAdapter
    12. Dim dbDataSet As New DataTable
    13. Dim bSource As New BindingSource
    14. Try
    15. MySqlConn.Open()
    16. Dim Query As String
    17. Query = "select id, dino_waehlen, zucht_wildfang, geschlecht, level, dinoname, gesundheit, ausdauer, sauerstoff, nahrung, gewicht, nahkampf, mutter, vater from dinos"
    18. COMMAND = New MySqlCommand(Query, MySqlConn)
    19. SDA.SelectCommand = COMMAND
    20. SDA.Fill(dbDataSet)
    21. bSource.DataSource = dbDataSet
    22. DataGridView1.DataSource = bSource
    23. SDA.Update(dbDataSet)
    25. MySqlConn.Close()
    26. Catch ex As Exception
    27. MessageBox.Show(ex.Message)
    28. Finally
    29. MySqlConn.Dispose()
    30. End Try
    31. End Sub


    soweit so gut, jetzt möchte ich aber noch einbauen das wenn man sich vertippt hat man den eintrag auch bearbeiten kann.
    den button dazu würde ich gerne in dieser form erstellen und der soll mich dann in die andere wo ich die daten eingetragen habe zurückwerfen und die werte in den entsprechenden feldern wieder anzeigen
    ich habe dazu das gefunden:

    Visual Basic-Quellcode

    1. Private Sub Edit_Click(sender As Object, e As EventArgs) Handles Edit.Click
    2. MySqlConn = New MySqlConnection
    3. MySqlConn.ConnectionString =
    4. "server=localhost;uid=username;pwd=password;database=dbname;"
    5. Dim READER As MySqlDataReader
    6. MySqlConn.Open()
    7. Dim Query As String
    8. Query = "update dinos set ('1', dino_waehlen='" & dino_waehlen.Text & "', zucht_wildfang='" & zucht_wildfang.Text & "', geschlecht='" & geschlecht.Text & "', level='" & level.Text & "', dinoname='" & dinoname.Text & "', gesundheit='" & gesundheit.Text & "', ausdauer='" & ausdauer.Text & "', sauerstoff='" & sauerstoff.Text & "', nahrung='" & nahrung.Text & "', gewicht='" & gewicht.Text & "', nahkampf='" & nahkampf.Text & "', mutter='" & mutter.Text & "', vater='" & vater.Text & "') where id='" & & "'"
    9. COMMAND = New MySqlCommand(Query, MySqlConn)
    10. READER = COMMAND.ExecuteReader
    12. MessageBox.Show("Eintrag Aktualisiert")
    13. MySqlConn.Close()
    14. End Sub


    das problem ist nur das die felder ja in form1 sind und der button in form2 auserdem werden dann die werte nicht in die felder eingetragen das müsste man dann wieder manuell machen
    wie kann ich ihm also sagen das sich die felder in form1 befinden und er die werte bitte wieder in die felder eintragen soll?

    uiuiuih - du fuhrwerkst da bereits mit Datenbanken, php-scripten und weßgottwas rum, aber vermutlich kennst du noch nichtmal den Begriff "Datenmodell".
    Eine Datenverarbeitung kann aber nix werden, wenn man nicht beim Datenmodell anfängt.
    Was - neben Sql-Injection auch ganz ungünstig ist, ist, dass du scheints keine anderen Datentypen zu kennen scheinst als String.

    Also ich würde dir dringend empfehlen, erarbeite dir erstmal datenbänkerisches Grundwissen, dann konzipiere ein für deine Zwecke angemessenes Datenmodell, und - wenn unbedingt wolle - erst dann die Datenbank aufsetzen.

    Ich aber würde von einer Db erstmal dringend abraten. Programmier deine Anwendung erstmal mit einer einfachereren Datensenke fertig - Db kannste später immer noch hinterlegen.

    Tutorial zu datenbänkerischem Grundwissen (und ausserdem Alternative Datensenke):
    codeproject.com/Articles/10309…l-Datamodel-for-Beginners

    @X0lfm4n Und es wäre hilfreich, wenn Du diesem Deinem Thread einen Titel gibt, der Dein Problem kurz beschreibt.
    Editiere bitte den Titel.
    Falls Du diesen Code kopierst, achte auf die C&P-Bremse.
    Jede einzelne Zeile Deines Programms, die Du nicht explizit getestet hast, ist falsch :!:
    Ein guter .NET-Snippetkonverter (der ist verfügbar).
    Programmierfragen über PN / Konversation werden ignoriert!

    Ich weiß Sicherheit ist wichtig und es gibt sicher bessere Möglichkeiten das ganze umzusetzen, allerdings soll das Tool ja nicht an die breite Masse gehen, sondern nur an ein paar einzelne Personen die absolut kein Interesse daran haben da irgend etwas zu manipulieren, zu zerstören oder ähnliches. Im Moment möchte ich nur das das Tool die Funktionen hat die wir brauchen und sonst nichts. Wenn das erledigt ist kann ich mich gerne näher mit dem ganzen befassen und es in Uhr noch einmal neu machen aber im Moment ist das für uns einfach nicht notwendig.

    Ich würde mich daher freuen wenn etwas mehr auf meine Fragen eingegangen wird und nach Möglichkeit ohne fachgelaber, wie ich am Anfang schon geschrieben habe fange ich mit dem ganzen erst an und da macht man nun mal Fehler.

    X0lfm4n schrieb:


    1.) Ich würde mich daher freuen wenn etwas mehr auf meine Fragen eingegangen wird und nach Möglichkeit ohne fachgelaber,
    2.) wie ich am Anfang schon geschrieben habe fange ich mit dem ganzen erst an und da macht man nun mal Fehler.


    zu 1.) Also du möchtest fertigen Code ? Dann gehe in den Marktplatz. Die User die hier gepostet haben, haben dir hier super Vorschläge gemacht.
    Setze diese um und bei weiteren Fragen dazu fragst du hier einfach nach dafür ist das Forum da. Verstehe nicht wo das Problem ist die Tipps
    hier umzusetzen ?

    zu 2.) Und mit unter genau deswegen weil du gerade erst Anfängst solltest du wenn schon RICHTIG anfangen und nicht erst falsch.
    Du hast hier die bestmögliche Hilfe um es gleich von Anfang an richtig zu machen.
    Grüße , xChRoNiKx

    Nützliche Links:
    Visual Studio Empfohlene Einstellungen | Try-Catch heißes Eisen

    X0lfm4n schrieb:

    nach Möglichkeit ohne fachgelaber
    Wenn Du willst, dass Dir hier effizient geholfen wird, wäre es

    RodFromGermany schrieb:

    hilfreich, wenn Du diesem Deinem Thread einen Titel gibt, der Dein Problem kurz beschreibt.
    Dann sehen nämlich Leute hier rein, die sich vom Titel angesprochen fühlen.
    Falls Du diesen Code kopierst, achte auf die C&P-Bremse.
    Jede einzelne Zeile Deines Programms, die Du nicht explizit getestet hast, ist falsch :!:
    Ein guter .NET-Snippetkonverter (der ist verfügbar).
    Programmierfragen über PN / Konversation werden ignoriert!

Facebook
Telefonspende