14 replies to this topic

[123Maffin]

Ich würde gerne eine eine .ini datei auf einen FTP Server hochladen (natürlich via AHK), nur leider wüste ich so nicht wie ich mich mit dem FTP Server ferbinde und die datei hochlade.

 

Und meine andere Frage wäre kann man auch mit MqSql servern zusammen arbeiten? Wen ja wie?

 

lg

Maffin

[nnnik]

@ Frage 2:

Hier Findest du eine Lib mit allen Funktionen die du dafür benötigst.

 

@ Frage 1:

Hier findest du FTP funktionen und die Hilfe dazu

[Alibaba]

Nutze die ftp lib nur in scripts für private Zwecke, denn ansonsten sind die zugangsdaten frei zugänglich! Wenn du dein Script anderen Leuten anbieten willst, solltest du eine andere Lösung in betracht ziehen. Leider fällt mir da für upload spontan nichts ein...

Das gleiche gilt für Datenbanken! Da solltest du php verwenden um einen serverseitigen Schutz herzustellen.

[nnnik]

Für Sicherheit könntest du eine Datei mit den Zugangsdaten anlegen und sie verschlüsseln (AES-256).

Jedesmal beim verbinden AHK sie über ein Passwort entschlüsseln lassen.

Es gibt dort noch mehr Techniken aber das sollte privat erstmal reichen.

[IsNull]

Ein brauchbarer Ansatz, der Securitymässig auch gut funktioniert ist, mit PHP eine API zur Verfügung zu stellen.

Diagram:

WebServer:
[MaySQL-Datenbank]<-->[PHP]
                        ^
                        |
                        |
                    (Internet)
                        |
                        |
                        v
                   [AHK-Client (UrlDownloadToVar/HttpQuery etc)] 

Die Kommunikation kann dann über GET / POST Parameter laufen.

[SAPlayer]

Allerdings sollte so eine Kommunikation IMMER über mysql_real_escape_string laufen, um SQL_Injection zu vermeiden.

Außerdem sollten nur bestimmte Querys zur Verfügung stehen, diese kann man z.B. über preg_match (AHK: RegExMatch) überprüfen.

Generell ist POST hier sicherer als GET, da die Verwendung ein wenig erschwert wird.

[IsNull]

Dass Strings escaped werden müssen ist in der Tat sehr wichtig. Mit einem PHP interface meine ich allerdings nicht etwas wie eine Methode:

PHP:GetRows(sqlQuery)

 

Sondern wirklich eine ganz konkrete API:

 

PHP:GetAllPlayers()

PHP:DeletePlayer(player_id) 

PHP:CreatePlayer(name, age) : player_id

 

SQL sollte nicht übermittelt werden.

 

Es bietet sich an, die Kommunikation mit XML (oder json, yaml whatever) zu machen. D.h. die Daten werden in dieses Text-Format serialisiert und so übers netz geschickt.

[Alibaba]

Gibt es denn eigentlich in AHK einen Weg über "POST" und PHP eine Datei hochzuladen. Also direkt nur im Code und nicht über das Standard HTML Upload-Formular?

[SAPlayer]

@QaMarath: Meines Wissens mit httpQuery, ich blick da aber nicht durch (gab auch noch eine zweite Lib dafür, mir fällt der Name gerade nicht ein)

@IsNull: Gut, eine API wäre natürlich auch nicht schlecht. Aber wenn man die SQL-Anweisungen checkt sollte das auch in Ordnung sein. Ich meine, auch mit einer serverseitigen API könnte man den Server "vollstopfen" (oder auch leeren), indem man einfach sehr viele Querys hintereinander durchführt. Wenn man z.B. sowas macht:

loop, 999999
{
DeletePlayer(A_Index)
}

 

ist es auch nicht das beste

Und davor kann man sich wahrscheinlich nur durch eine serverseitige Maximalanzahl an Querys (Z.B. maximal 10 Anfragen in 5 Minuten) schützen, wobei auch das nicht unbedingt hilft (wenn der Attackierer denn Zeit hat)

[Alibaba]

Ja, httpQuery scheint das richtige zu sein, habs aber nur überflogen...

 

Wegen dem "Attackierer-Prolem" muss man sich eigentlich keine Sorgen machen...

Wer sieht es schon darauf ab, ein Sytem anzugreifen das von höchstens einer handvoll Leute benutzt wird?

Solange man keinen Dienst zur Verfügung stellt, der weltbekannt ist und von großer Wichtigkeit für viele Leute ist (was man mit AHK normalerweise nicht tut ;D), wird sich wohl kaum jemand dran vergreifen.

[IsNull]

@SAPlayer: Ne, das Problem bei Querys ist privilege escalation.

Dass man sich durch Logins erstmal schützt ist klar.

 

Über eine API  kann man genau steuern was welcher User darf.

Wenn man aber direkten SQL zugriff hat, kann man z.B. auf die User Tabelle zugreifen, oder allgemein auf alle Tabellen die man evtl. nicht sollte.

Mit Regex da irgendwelche Tabellen oder Commands rauszufiltern ist ne Einladung für Hacker/Kiddies.

 

Anyway, um ein solches Projekt umzusetzen benötigt man etwas Erfahrung mit PHP und MySQL.

[nnnik]

Stimmt nicht. Es gibt Leute mit zu viel Langeweile und nichts zu tun.

Die sich vieleicht aus langeweile am Hacken versuchen.

So ein Programm mit eher einfachen Sicherheitsmassnahem ist dafür ideal geeignet.

Ausserdem siehe AutoHotkey.net

[Alibaba]

Autohotkey.net war von großer Bedeutung...

Aber du hast ja recht, es gibt zu viele Leute, denen zu oft langweilig ist...

[nnnik]

Wenn man sich aber die ursprüngliche Frage anguckt...

Sind wir nicht leicht vom Thema abgekommen?

[Alibaba]

Liest der Thread-Ersteller eigentlich noch mit?