DNS Webinterface

Hallo liebe Leser,

ich würde euch gerne eine Projekt vorstellen, welches derzeit von mir programmiert wird. Wie bereits in der Überschrift erwähnt, handelt es sich hierbei um ein DNS Webinterface, welches folgende Aufgaben erledigen soll.

Das Webinterface ist primär in 3 Benutzerstrukturen eingeteilt. Zum einen die Administrative Ebene, die Reseller Ebene und die Endkundenebene.


Administrative Ebene:

1. Übersicht aller verbrauchten und zugeteielten Ressourcen via. Dashboard
2. * - Verwalten aller Benutzerebenen (Adminstratoren, Reseller und Endkunden)
3. Verwalten des "standard" Nameservertemplates
4. ** - Verwalten der Nameserver
5. *** - Supportticketsystem
   

1. Übersicht eigener verbrauchter und zugeteielter Ressourcen via. Dashboard
2. Verwalten von Endkunden
3. * - Supportticketsystem
   

1. * - Anlegen von Zonen (Domains)
2. ** - Supportticketsystem
   

1. Mietlizenz
   
   • 1 Monat = 14,99€
   • 12 Monate = 149,99€
     
2. Kauflizenz
   
   • 1 Interface (1 Server) = 449,99€
     

SQL-Injection ist problemlos möglich... Sehr unsicher..

Da kannst du dir sicher sein, das wird in 5 Minuten nicht mehr möglich sein.

Derzeit entwickle ich gleichzeit unter dieser Domain - da schleichen sich hier und da kleine unstimmigkeiten ein - in der Regel wird jeder Post durch ein Escape gejagt.

LG

Nur escapen reicht aber heute nicht mehr! ;-)

Werde nachher nochmal vorbei schauen und hoffen, dass es gefixt wurde.

Warum sollte das escapen von delimitern nicht ausreichen? -> Hier kommt es sehr stark drauf an, wie Programmiert wurde. Ich bin fest davon überzeugt, dass bei dem Projekt ein Escape ausreicht.

Gerne lasse ich mich eines besseren belehren - dies bitte per PN oder Mail inkl. etwaiger Screens.

Dankeschön =)

Werde es später ma ankucken.
Aber im Bereich DB und Programmierung ist es immer am besten wenn man Stored Procedures oder Prepared Statements (also vorkompilierte Abfragen) verwendet und die Benutzereingaben als Parameter anhängt.
Dadurch lassen sich Injections gut verhindern, kann aber leider nicht sagen ob und wie man das bei Scriptsprachen
einsetzen kann.
Bei echten Programmiersprachen bzw. DB-Sprachen geht das.

Hallo alcazar,

Prepared Statements und Stored Procedures habe ich mir gerade einmal zu gemüte geführt. Den Einwand finde ich richtig gut und bei richtiger Anwendung kann ich mir hierdurch wohl einige Zeilen Code sparen. Danke für den Tipp

@RedDust:

Habe das gerade selber getestet und habe bemerkt was du meinst. Ich bin mir nur noch nicht 100% sicher ob es im umsetzbaren Bereich liegt. Ich bin mir durchaus bewusst, dass dies ein Punkt der Usability ist, nur wenn Javascript heruasgenommen wird, dann funktionieren eine Hand voll Funktionen und Features nicht mehr.

Die Frage die sich hier stellt ist, baue ich einige Funktionen aus und nehme in Kauf das 10 von 100 000 000 Benutzer das Interface nicht benutzen kann oder lasse ich es drin uns schreibe es im Bereich "Voraussetzungen Endkundenbereich" mit hinein.

Einiges kann man sicherlich auch in CSS3 Umsetzen, aber bei Datentabellen wird es schon schwerer.

Vielleicht auch einmal eine Frage an die Allgemeinheit - wie sollte das Ganze am besten umgesetzt werden? Javascript inkludiert lassen oder lieber heruasnehmen und Alternativen inplementieren?

Das Interface ist löchrig wie schweizer Käse. Die Nutzereingaben werden nicht auf XSS untersucht - d.h. an einigen stellen persistente XSS möglich.
"1 Interface (1 Server) = 449,99€" Du glaubst doch nicht wirklich, das jemand so viel Geld für n löchriges kleines Interface ausgibt, oder?

Das Design ist soweit ich sehe nicht selbst gemacht und von [Link: Registrierung erforderlich] Erstellt.Was für mich schon der Grund ist keine 450 Euro dafür zu zahlen.

LG
Nico

Hallo master bratack,

zunächst danke ich auch dir für deinen Beitrag auch wenn du das wiederholst, was Vorredner bereits erwähnt haben.

Nun gut - zunächst möchte ich XSS auflösen, damit dies jeder versteht. Beim XSS spricht man vom “Cross-Site-Scripting” was wiederrum unter anderem die MySQL Injektion beinhaltet.

Das dies glücklicherweise ein Betatest ist, ist ja noch genug Zeit vorhanden, eben solche "Löcher", wie du sie so schön nennst, zu stopfen. Ich arbeite bereits lokal an einer weiterentwickelten Version, die eben diese "Löcher" stopf. Unter anderen mit validen Textfeldern die verhindern sollen, Eingaben zu tätigen, die dort schlichtweg nicht hineingehören.

Danke für den Satz.
An der Stelle jedoch kann ich dir versichern dass es Leute gibt die durchaus mehr Zahlen. Eben durch die Implementierung von DNSSec, Domainrobot APIs (Domain-Bestellsystem) etc., was bereits in der neuen Version vorhanden ist.

Nur eine kurze Frage - was bedeutet denn deiner Interpretation nach "klein" ?
Wenn ich dich richtig deute ist Teklab auch ein kleines Interface. Ein paar Datenbankabfragen ein bisschen SSH2Lib Anweisungen und die Implementierung einer PDF Library - Grundsätzlich von jedem umsetzbar der etwas Zeit und Lust dazu hat. Nur keiner macht es, weil Teklab es bereits getan hat. Somit hat Teklab ein Monopol darauf Und da Nachfrage das Angebot bestimmt ist zu sagen, dass Teklab die Preise anziehen kann wie sie es für richtig halten.


Da ich aber nicht auf Grundsatzdiskussionen stehe, und schon garnicht im Sponsor Board wo Welten etwas verdreht sind, möchte ich dies auch an dieser Stelle mit dir abbrechen. Relevante Posts sind dennoch gerne gesehen, sofern diese nicht in doppelter Ausführung getätigt werden.


@NicoWDB: Ich danke auch dir für deinen Beitrag.

Was hat den bitte das Design an für sich mit dem Preis zu tun? Ich möchte doch nicht das Design verkaufen sondern die Funktionen die dahinter stecken.

Eventuell sollte man, bevor man einen Post verfasst, in sich gehen und sich Fragen, was der Autor mit dem Thema (in diesem Fall mit der Programmierung) bezwecken möchte.

Herzlichste Grüße

Nico Linde

[NACHTRAG @ Moderatoren] Ich versuche stets sachlich zu bleiben und meine Gedanken in eloquente Sätze zu verpacken. Leider gewinnt in einigen Teilsätzen meine Fassungslosigkeit gegenüber einigen Autoren und deren Posts. Sollte es beleidigende Ansätze, welche gegen die Regeln verstoßen, geben, bitte ich um Kontaktaufnahme.