PHP Sichere Api erstellen?

Hi, kann mir jemand ein paar Tutorials oder Artikel empfehlen, oder kennt eine Anleitung wie man eine sichere API für PHP macht?

Was ich machen möchte:

Ich möchte mir eine kleine Oberfläche für unsere Online Shops erzeugen in der jeden Tag Lagerbestände und Anzahl der Verkauften Artikel abgespeichert werden(das ist soweit auch umgesetzt). Aktuell gebe ich die Werte aber noch per PHP Skript aus. Das ganze möchte ich jetzt aber dynamischer gestalten und mithilfe von Javascript ausgeben lassen, admit ich per PHP nur noch das Grundgerüst der Seite aufbaue und per Javascript dann die Tabellen ausgebe und Filter setzen sowie suchen kann.

An der Uni habe ich sowas vor ein paar Jahren schonmal mit XHR gemacht, dabei haben wir aber das Thema sicherheit nicht behandelt, welche Wege gibt es denn soetwas "sicher" umzusetzen, damit nicht einfach ein Bot der auf die Seite kommt dort per CRUD irgendwelche Werte eingeben könnte oder abfragen könnte?

Macht es da sinn ein Token zu erzeugen und das dann in den Javascript Dateien zu speichern oder die Zugangsdaten des Benutzers bei jedem Aufruf mitzusenden? Ich möchte das ganze vielleicht auch so gestalten das man daraus vielelicht auch mal eine App erstellen könnte, falls der bedarf in Zukunft aufkommt.

1 Antwort

TechPech1984

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Computer

01.04.2021, 20:12

für sicheres programmieren gilt natürlich erstmal , traue keinem client . ein token hat nicht wirklich was mit sicherheit zu tun eher mit authentifizierung , also das nur der darf der auch vorher berechtigt war , da gibts viele möglichkeiten .

praktisch musst du bei anfragen sowieso soweit filtern das nur zulässige werte auf dem server verarbeitet werden. ergo jede anfrage muss erstmal durch eine prüfung und genau da liegt dann auch die problematik, da gibt es leider keine standartlösung , am besten fährt man natürlich wenn man praktisch eine tabelle hat wo die möglichen werte vorgegeben werden und dann auch noch die kombinationen. wie so ein rechtesystem, sprich , bei den und den werten darf auch nur gelesen und bei anderen werten geschrieben werden.

wie man das umsetzt , muss man halt zur jeweiligen problemstellung absichern. das kann sehr komplex werden und dann auch sehr viele löcher oder halt auch einschränkungen bedeuten.

vielleicht solltest du erstmal mit REST API anfangen .

der größte feind sitzt halt meist mit einem gültigen login bzw token da und versucht alle kombinationen durchzugehen.

CoSci

Beitragsersteller

01.04.2021, 20:50

Hi, danke werde ich mir mal anschauen.

In erster Linie geht es mir aber auch beispielsweise darum wie man es am bloedsten umsetzt, das ich nicht per Get Methode den Hersteller angeben kann, ohne das man eingeloggt ist und dann ein ergebniss bekommt. Da weis ich leider nicht wie man es bloedsten loest, ob ich die Zugangsdaten jedesmal mitschicken soll, oder in PHP die Werte in einer Session ablege und ueberpruefe(so mache ich es aktuell bei meiner Ausgabe in Php)

TechPech1984

01.04.2021, 21:23

@CoSci

das ist halt ein komplexes system. mit session liegst du schonmal gut , sonst wäre es wirklich zu einfach.

bei get hat man halt das problem das es auch noch sichtbar in der url ist , deseegen macht man meist tokens die dann über https verschlüsselt im body für die nächste handlung bereit stehen, quasi ein einmal token der wenn er genutzt wurde über url schon veraltet ist , wenn da einer aber in der mitte ist könnte der auch das abfangen.

es gibt schon ganz ausgefeielte frameworks die das beteit stellen und alle kämpfen mehr oder weniger mit der sicherheit zu aufwand und usability .

schau dir die konzepte von OAuth2 an , da gibt es eine stelle die die berechtigung für resourcen verarbeitet eine andere stelle die die authentifizierung organisiert etc. bis hin zu proxy systeme die überprüfen von wo aufrufe etc erlaubt sind.

wenn du aber nicht verstehst wie diese dinge zusammenspielen kann es mehr lücken als schutz bedeuten.

kann gerade leider keine links raussuchen die da weiterführen. aber es ist halt ein komplexes thema das durchdacht werden muss und dann deine best practise weden kann.

session ist aber schon das grundprinzip das wirklich viele webseiten als grundlage haben.

CoSci

Beitragsersteller

01.04.2021, 22:13

@TechPech1984

ok, gut danke, schau cih mir dann auch nochmal an.

Ähnliche Beiträge

Wörter nach Häufigkeit sortieren?

Hallo, ich möchte in Google Ergebnissen auftauchende Wörter nach der Häufigkeit sortieren und dabei einige ausschließen. Kennt jemand eine API oder eine möglichkeit in PHP oder JavaScript

...zum Beitrag

Javascript Fetch API - Wie kann ich den Output als Variable weiterbearbeiten?

Ich hole mir in einer scoreboard.php Datei eine Liste mit Werten aus meiner MySQL Datenbank. Wie kann ich diese PHP Datei aus einem Script heraus aufrufen und die zurückgegebenen Werte weiter verarbeiten? Ich bin soweit, dass ich die Werte zwar mit console.log() ausgeben kann, jedoch hilft mir das nicht, da ich sie nicht ausgeben möchte sondern noch weiter verarbeiten.

var results;
fetch("includes/scoreboard.php")
  .then(res => res.text())
  .then(data => results = data);
  .then(() => console.log(results))

Wie bekomme ich die Ausgabe einer externen PHP Datei in eine JS Variable?

...zum Beitrag

Systeminformationen mit javascript oder php auslesen und im browser anzeigen?

Gibt es ne möglichkeit dass ich einige systeminformationen, wie zb cpu/gpu temperatur, auslastung, ram belegung usw per javascript oder php (oder was ähnliches) auslese und mir im browser anzeigen lasse?

Es geht darum, dass ich von überall aus diese informationen lesen möche ohne mich dazu über ssh verbinden zu müssen.

Ich hab mir gedacht dass es ja im prinzip möglich sein sollte, diese informationen per skript auslesen und in eine datei schreiben zu lassen, dieses dann mit zb php zu verarbeiten usw.. aber vielleicht geht es ja einfacher?

...zum Beitrag

Javascript PHP Variable ausgeben?

Hallo,

ich möchte an einer Stelle in folgendem Code

https://pastebin.com/MV88qs08

eine PHP Variable ausgeben. Nur leider funktioniert das nicht so, wie ich mir gedacht habe. Sucht in dem Code mit Strg+F nach "$the_code" und nehmt das 2. Suchergbnis. Das nach default_content.

Stattdessen kommt immer ein HTTP 500 Error. Als Fehler beim PHP Log kommt folgendes:

[20-Mar-2022 18:45:43 UTC] PHP Parse error:  syntax error, unexpected 'ace' (T_STRING), expecting ';' or ',' in /home/emclouds/public_html/dev/pythonnow/userpanel/testuser/editor/editor.php on line 64

Wäre nett wenn ihr mir kurz helfen könntet.

...zum Beitrag

Fortnite Api geht nicht?

Hey, ich probiere das jetzt schon die ganze Nacht lang.. mit php die Rest api einbinden und wenn es ein bestimmter Wert ist, soll er eine Pushbenachrichtigung an mein Handy senden.. Wie mache ich das am Besten? Ist das überhaupt mit php möglich? (besonders hilfreich wären codebeispiele zum anschauen und verstehen..) Und kann jemand anderes mal diese Website testen (https://fortnitetracker.com/site-api), ob die Api überhaupt funktioniert?.. (bis jetzt habe ich es noch nicht hingebracht..)(ich will die shop api haben)
Vielen Dank im Voraus! Wäre sehr hilfreich!

...zum Beitrag

Tabellenbereiche ausklappen mit Javascript?

Guten Tag,

ich möchte Tabellenbereiche ausklappen. Kenne mich mit Javascript überhaupt nicht aus darum suchte ich nach einer Lösung im Internet. Ich fand folgendes:

<script type="text/javascript">
var angezeigt = false;
function versteckt()  {  if (angezeigt) { document.getElementById('ghost').style.display = 'none'; angezeigt = false; } else { document.getElementById('ghost').style.display = 'block'; angezeigt = true; } }

</script>
<table cellspacing="2" cellpadding="2" border="0"> 
<tr> 
    <td> 
     Dieser Bereich ist sichtbar (immer). 
    <br><br>Und <a href="#" onclick="versteckt()"> hier</a> blenden wir einen "versteckten" Bereich ein und aus! 
    </td> 
</tr> 
<tr> 
    <td style="display : none" id="ghost">Dieser Bereich kann ein-/ausgeblendet werden!</td> 
</tr> 
</table>

Nun gebe ich mit einer while Schleife in php mehrere Tabellenzeilen aus. Zu jeder Zeile möchte ich gern per Link eine weitere Zeile ausgeben und auch wieder schließen lassen. Mit dem hier vorliegenden ist es nicht möglich es öffnet sich nur die erste Zeile.

Da ich von Javascript nichts verstehe frage ich euch was ich hier ändern müsste?

Vielen Dank im Voraus

...zum Beitrag

Dynamisches HTML Unterschied PHP/Javascript?

Hallo, ich muss mich für meine IHK Abschlussprüfung ein bisschen mit Websites, html, javascript, php usw. auseinandersetzten. Es gibt also statisches HTML, wo nur html und css verwendet wird. Dies ist Sicher aber wenig hübsch und ohne große Funktionen. Dann gibt es dynamisches HTML, wo durch die Einbindung von javascript und php weitere Funktionen implementiert werden. Dynamische Elemente, die nicht direkt beim http request übermittelt werden, sondern dynamisch zur Laufzeit erzeugt werden können (So weit alles richtig?). Jetzt frage ich mich, wo genau php und wo javascript eingesetzt wird. Ich stelle mir das so vor, dass für Menüs, interaktive Elemente usw. wo kein Code/Dateien vom Server nachgeladen werden müssen js verwendet wird. Und für Elemente die vom Webserver (per CGI) verarbeitet werden und eine Interaktion dessen also z.B. das nachladen von Dateien erfordert, php verwendet wird. Ist das (grundlegend so korrekt? Oder wo ist da der genaue Unterschied?

...zum Beitrag

Rest API - PHP?

Hey, ich habe eine locale MySQL Datenbank, nun möchte ich diese an meine App anbinden. Dazu ist es sinnvoll eine Rest API zu entwickeln. Ich habe es mit folgender Anleitung versucht:

https://code.tutsplus.com/tutorials/how-to-build-a-simple-rest-api-in-php--cms-37000

Jedoch funktioniert es nicht. Also ich kann die API im Browser und mit Postman abrufen. Aber in meiner App kann ich trotz richtiger Anbindung keine Daten ausgeben.

Hat jemand eine Idee woran es liegen kann?

Danke schonmal für die Hilfe!

...zum Beitrag

Mit xhr Daten senden und mit PHP empfangen?

Hi,

ich versuche Daten per AJAX zu versenden.
Leider gelingt es mir nicht, die Daten mit PHP anzunehmen.

// Sammle alle Klassen
const words = document.querySelectorAll('.ocrx_word');
// Stelle ein leeres Array bereit
const datasBooks = [];
// Suche alle Wörter und packe sie in ein Array
 words.forEach((wordItems) => 
 {

    let word = wordItems.innerText;
        datasBooks.push(word);
   
});
// Go-AJAX
const  xhr = new XMLHttpRequest();
// Zielroute
xhr.open("POST", "actions/test.route.php", true);
// Antwort
xhr.onreadystatechange = function () 
{
    if (xhr.readyState==4 && xhr.status==200) 
    {
        console.log('xhr > Senden > ok');
    }
};
//Header
xhr.setRequestHeader('Content-Type', 'application/x-www-form-urlencoded; charset=UTF-8');
// Ciao 
xhr.send(datasBooks);

console.log(datasBooks);

In der Zielroute versuche ich:

$wordsInBook  = json_decode($_POST['datasBooks']);

Ich bekomme die Fehlermeldung:

<b>Warning</b>:  Undefined array key "datasBooks"

Nur, warum wird der Key nicht gefunden?

...zum Beitrag

Durch Javascript erzeugten Text farbig darstellen, wie geht das?

Hallo ich würde gerne in meinen Javascript Code (per CSS) bestimmte Variablen farbig angeben, damit sie danach auch immer wieder farbig angezeigt werden.

Gespraech=Gespraech+"\n"+"Kunde: "+Antwort;

"Gespraech" und "Antwort" sind jeweils definierte Felder, in diese wird Text erzeugt. Auf diese würde ich gerne (per CSS) zugreifen und den erzeugten Text in unterschiedlichen Farben erzeugen lassen. Bsp: Rot und Grün.

Danke für eure Hilfe!

MfG.

Ghost

...zum Beitrag

Kann man mit PHP in einer HTML Datei z.B. Div Container hinzufügen?

Hallo, ich möchte ein CMS für eine Website schreiben (Ich weiß, dass es bereits bestehende gibt, aber ich möchte eins aus Neugier schreiben). Wie kann man per PHP neue Elemente (z. B. Div Container) mit Daten aus einer Datenbank befüllen und diese dann als z.B. Artikel anzeigen lassen. Ist das überhaupt möglich mit PHP oder benötigt man dafür JavaScript? Vielen Dank im Voraus. :) hadome

...zum Beitrag

JS variablen in Html ausgeben, wobei die Javascript Datei eigenständig ist?

Wir bräuchten eine Lösung um unsere durch eine API generierten Daten auf unserer HTML Seite auszugeben.

Wir haben zum Beispiel ein let test = "Irgendwas" in der JS Datei und wir wollen den String in der HTML Datei ausgeben bzw auf der Website anzeigen lasse. Also es wird keine JQuery verwendet und die Daten liegen einfach als String vor.

...zum Beitrag

Wie kann ich mehrere marker aus meiner Datenbank in die google map einfügen?

Hey,

Ich erstelle mir gerade eine Seite in der die google map mit intiegriert ist über ein Javascript, das ich aus dem Internet habe. Mit Javascript hab ich mich noch nicht groß auseinander gesetzt, aber ich verstehe was in dem Code ungefähr drin steht und es funktioniert auch alles.

Mein Problem ist das ich über meine Datenbank nun mehrere Marker per Schleife einfügen möchte. Im prinzip so viele Addressen wie gegeben sind als Marker auf der Map anzeigen.

Per PHP kann ich meine Datenbank und alles auslesen nur möchte ich ja inmitten eines Javascripts eine Schleife haben auf php basis und da hab ich meine Probleme.

Hier der Code:

Mein ansatz:

...zum Beitrag

Umlaute wollen nicht von der mysql Datenbank Konvertiert werden(Webseite, PHP)?

Ich hab in der mysql Umlaute gespeichert und wenn sie ausgegeben werden erscheinen rauten mit Fragezeichen, aber wenn ich umlaute manuel(per Code und nicht per Datenbank) ausgeben lasse werden die Umlaute ausgegeben

...zum Beitrag

Was möchtest Du wissen?

Deinen Beitrag erstellen