spieleprogrammierer.de - Forum und Wiki zur Spieleprogrammierung und Spieleentwicklung

Zur PHP-Variante:
Leg doch eine weitere Tabelle an für "Admin"-Accounts, dort kannst du dann alle eintragen die berechtigt sind etwas zu verändern, und im PHP Script legst du dann fest das man wenn man etwas Verändern will auch Username & Password an das PHP Script übergeben muss, wenn diese korrekt sind führt dieses Script dann erst die gewünschten MySQL Befehle aus etc
(Alternativ dazu kannst du auch einfach im PHP Script selbst ein Master Username/Password angeben, das übergeben werden muss zum ändern von Datensätzen)

Sonstiges:
Habe mich zwar nie damit auseinander gesetzt, aber ich meine gehört zu haben... ( Habe eig. wenig mit MySQL am Hut )
Das man einfach einen weiteren Account für den Zugriff auf den MySQL Server anlegen kann,
der nur Berechtigung für das Auslesen von Datensätzen hat, so wäre es un-relevant wenn jemand von diesen Usernamen/Password herausbekommt,
da er nicht mehr damit anfangen kann als die APP selbst, nämlich das anzeigen der Datensätze
Desweiteren könntest du in der APP dann die Möglichkeit geben, das der User eigene Logindaten für den MySQL Server angeben kann, damit die,die berechtigt sind, auch über die APP die Datensätze ändern können. So könntest du die Admin-Accounts direct über den normalen MySQL-Login regeln.

(Glaube ich versuche morgen, wenn ich ausgeschlafen bin, es deutlicher zu formulieren, wenn der bedarf deiner/eurer seits besteht. Grade etwas Müde )

Wieso ist die Datenbank überhaupt von außen erreichbar und nicht nur lokal auf dem Server?

Zitat

Da ich sicher sein kann, dass das Admin-Programm nicht in falsche Hände gerät, kann ich die Zugangsdaten ja direkt einprogrammieren, oder?

Würde ich so nicht machen. Wenn ich die Software dekompiliere kann ich somit wieder alle Daten auf der Datenbank abändern.


Du schickst die Befehle an ein Script (oder Service) am Server. Dieser verarbeitet diese und schickt dir das Resultset zurück.
Entweder Authentifizierst du dich beim ersten mal (Praktisch ein Login) und der Server merkt sich die Session. Oder bei jeder Request schickst du deine Authentifizierung mit.
Die Authentifizierungsdaten für die Anfragen müssen beim Client eingegeben werden. (Username + Passwort)
Nach einer einmaligen Eingabe + erfolgreichen verbindens mit dem Server (Skript) kannst du diese Daten ja in einer Datei (verschlüsselt/Hash) speichern.

Zitat von »birdfreeyahoo«

Da sie aber niemand bekommt, der das nicht darf, ist da doch kein Problem, oder?

Wozu dann überhaupt Sorgen machen?

Alternativ kann natürlich das PHP-Skript auch einen Namen haben, den man nicht raten kann. Wenn der Server dann nicht Verzeichnisinhalte anzeigt und die Verbindung noch idealerweise mit SSL gesichert ist (was ja jetzt nicht soo schwer ist) sollte die Seite auch niemand finden. Und die Admins können sich halt ein Bookmark speichern.
Ist vielleicht nicht so elegant wie eine Login-Seite, aber dafür halt in 2 Sekunden gemacht...

Der Server sollte die Datenbank überhaupt nicht exposen, schreib einen Service der die benötigten Anfragen beantwortet. Dann braucht man von außen erstmal keinen direkten Zugriff auf die Datenbank und kann sich authentifizieren mit einer Nutzer Tabelle.