iPhone SDK ja php-scripti (scoreboard palvelimelle)

[mikko93]

Hei!
Harjoittelin tuossa tekemään MYSQL:än ja php avulla iphonelle tuommosta scoreboardia palvelimelle. Ohjeet: ICODEBLOGin TUTORIAL

Hyvä ohje ja sainkun sainkin toimimaan helposti ja nopeasti, mutta haluaisin tietää miten saisin tuosta get_scrores.php poimittua pelkästään ne nimet + pisteet ja lisätä ne iphonen esimerkiksi UITableViewiin. En haluaisi käyttää tuota UIWebViewiä.
http://kmikko.net/get_score.php

Tuommosta jälkeä se siis tuottaa. Ei ole mitään kokemusta mistään XML-parsinnasta jos nyt edes tähän liittyy? Googleen en keksinyt sopivia hakusanoja joilla tietoa löytyis.

Lisäksi, että onko tuo kohtuullisen turvallinen tapa tehdä tuo scoren lisääminen tietokantaan, ajatellen hakkereita, jotka yritää sotkea tuon tietokannan täyteen "omia enkkareita"?

[Kaivuri]

Aluksi kannattaa tuosta koodista vaihtaa ainakin kohta

Koodi: Valitse kaikki

	if($_GET['secret'] != "some_secret") {
		die('Nothing to see here...');
	}

Eli vaihdat tuon some_secret tilalle jonkun toisen "salasanan". Sillä menemällä osoitteeseen http://kmikko.net/put_score.php?secret=some_secret voi tuonne lisätä minkä tuloksen haluaa, kunhan vain parametrejä hieman muuttaa. Toisaalta tuo keino vaikuttaa silti vähän kummalliselta, koska jos joku saa tietoonsa tuon "salasanan" niin voi lähetellä omia tuloksiaan aivan miten haluaa. Ehkäpä joku kryptattu tekstin pätkä joka sitten puretaan palvelimella olisi järkevämpi ratkaisu.

Kannattaa myös vähän kattoa mitä antaa käyttäjän syöttää noihin GET muuttujiin. Voi nimittäin tulla ikävä yllätys jos joku jonkun SQL-injetion tuonne heittää.

Mitä noihin tulosten esittämiseen tulee, luulisin että helpoin on käyttää tuota UIWebViewiä. Tuota omaa hiscore sivua nyt voi CSS:n avulla muotoilla miten haluaa, joten sen "rumuus" ei ainakaan pitäisi olla ongelma.

UITableViewistä en tiedä miten tapahtuu, koska ei ole tullut tutustuttua iPhonen SDK:n koskaan, mutta jos sitä haluat käyttää niin joudut tekemään iphonen kanssa SQL queryn palvelimelle ja aina hakemaan tiedot iPhonen muistiin ja sen jälkeen rakentamaan listan UITableViewin päälle itse. Tai sitten siihen on helpompi keino, en tiedä. UIWebView ainakin näin suoraan kuullostaisi helpommalta, koska siinä vain haetaan ja esitetään tuo nettisivu, joka on luotu palvelimelle.

[mikko93]

Kiitos vastauksesta. Tottahan tuo salasana pitää vaihtaa.
WebViewihän olisi tosiaan helppo, mutta ongelmana on se, että käyttäisin tuota vähän eri tarkoitukseen eli lähinnä tietojen välittämiseen toiseen luuriin eli se "data" pitäs jotenki saada semmoseen muotoon jonka voin ohjelmassa asettaa muuttujiin.
Liekö tällaiseen tarkoitukseen parempia vaihtoehtoja?

[Kaivuri]

Siinä tapauksessa kannattaa varmaan luoda tuosta xml tiedosto ja hakea siitä tiedot.

http://www.iphonesdkarticles.com/2008/1 ... files.html
Tuolta näyttäisi ainakin löytyvän jotkut ohjeet sen xml tiedoston lukuun.

http://vijayk.wordpress.com/2006/12/04/ ... using-php/
Tuolta taas jotain ohjetta xml tiedoston luomiseen.

[mikko93]

Siinä tapauksessa kannattaa varmaan luoda tuosta xml tiedosto ja hakea siitä tiedot.

http://www.iphonesdkarticles.com/2008/1 ... files.html
Tuolta näyttäisi ainakin löytyvän jotkut ohjeet sen xml tiedoston lukuun.

http://vijayk.wordpress.com/2006/12/04/ ... using-php/
Tuolta taas jotain ohjetta xml tiedoston luomiseen.

Tätä ajoin takaa! Kiitos paljon eiköhän se nuilla ala toimii

[Virgo]

Kannattaa sitten miettiä myös tiedon salausta, jos tuon linkittämäsi tutoriaalin perusteella teet. Siinähän käytetään http protokollaa, ja se salasana siirtyy get parametereissa. Ei ole ongelma eikä mikään saada tuota salasanaa selville kuuntelemalla verkkoliikennettä.

[mikko93]

Kannattaa sitten miettiä myös tiedon salausta, jos tuon linkittämäsi tutoriaalin perusteella teet. Siinähän käytetään http protokollaa, ja se salasana siirtyy get parametereissa. Ei ole ongelma eikä mikään saada tuota salasanaa selville kuuntelemalla verkkoliikennettä.

Tätä kans mietin. Mikähän tuohon vois olla ratkasu? Mietin semmosta että tyyliin yhistellää esim. aika ja salasana ja udid tietyn algoritmin kautta joka ois tietty sitte salainen. Ja verrattas palvelimella ja ennen postausta tehtyä että täsmääkö? Tällöinhän ei ois mitään väliä vaikka sen siitä saakin pöllittyä koska se olisi joka kerralla eri? Kuulostaako järkevältä vai onko tähän jonkinlainen "standardi" olemassa?

[Virgo]

Yksinkertainen vaihtoehto voisi olla käyttämällä md5 hashia jollain binääriin koodatulla avaimella, lähettää se http-pyynnön kanssa, ja taas palvelin päässä tarkistaa, että hash täsmää. Ei tuokaan tietty "turvallinen" ratkaisu ole, jos sen avaimen onnistuu kaivamaan binääristä esille.

Edit: googlettamalla löysin tällaisen, missä tuota md5 hashia on käytetty: http://www.travisdunn.com/managing-loca ... mes-part-2

[mikko93]

Yksinkertainen vaihtoehto voisi olla käyttämällä md5 hashia jollain binääriin koodatulla avaimella, lähettää se http-pyynnön kanssa, ja taas palvelin päässä tarkistaa, että hash täsmää. Ei tuokaan tietty "turvallinen" ratkaisu ole, jos sen avaimen onnistuu kaivamaan binääristä esille.

Edit: googlettamalla löysin tällaisen, missä tuota md5 hashia on käytetty: http://www.travisdunn.com/managing-loca ... mes-part-2

En nyt ymmärrä tän pointtia. Ku tuo MD5 hashi lähetetään tuossa mukana, ja palvelimella verrataan siellä tehtyyn hashiin. Eikö tuon hashin voi sitä verkkoa kuuntelemalla saada ihan samallailla tuosta html postista, kuten suoraan sen salasanankin? Mikähän mulla meni nyt ohi?

[anttti]

Yksinkertainen vaihtoehto voisi olla käyttämällä md5 hashia jollain binääriin koodatulla avaimella, lähettää se http-pyynnön kanssa, ja taas palvelin päässä tarkistaa, että hash täsmää. Ei tuokaan tietty "turvallinen" ratkaisu ole, jos sen avaimen onnistuu kaivamaan binääristä esille.

Edit: googlettamalla löysin tällaisen, missä tuota md5 hashia on käytetty: http://www.travisdunn.com/managing-loca ... mes-part-2

En nyt ymmärrä tän pointtia. Ku tuo MD5 hashi lähetetään tuossa mukana, ja palvelimella verrataan siellä tehtyyn hashiin. Eikö tuon hashin voi sitä verkkoa kuuntelemalla saada ihan samallailla tuosta html postista, kuten suoraan sen salasanankin? Mikähän mulla meni nyt ohi?

Se, että se hash on laskettu niistä varsinaisista pistetiedoista. Kun vastauksessa kulkee hash ja se tieto, mistä se on laskettu, voidaan palvelimella laskea hash uudestaan saadusta selväkielisestä pistetiedosta ja verrata sitä saatuun hashiin. Nyt jos hashit täsmäävät, pisteisiin voidaan todennäköisesti luottaa, ja jos ne eivät täsmää, on selväkielistä tietoa käpälöity.

[mikko93]

Yksinkertainen vaihtoehto voisi olla käyttämällä md5 hashia jollain binääriin koodatulla avaimella, lähettää se http-pyynnön kanssa, ja taas palvelin päässä tarkistaa, että hash täsmää. Ei tuokaan tietty "turvallinen" ratkaisu ole, jos sen avaimen onnistuu kaivamaan binääristä esille.

Edit: googlettamalla löysin tällaisen, missä tuota md5 hashia on käytetty: http://www.travisdunn.com/managing-loca ... mes-part-2

En nyt ymmärrä tän pointtia. Ku tuo MD5 hashi lähetetään tuossa mukana, ja palvelimella verrataan siellä tehtyyn hashiin. Eikö tuon hashin voi sitä verkkoa kuuntelemalla saada ihan samallailla tuosta html postista, kuten suoraan sen salasanankin? Mikähän mulla meni nyt ohi?

Se, että se hash on laskettu niistä varsinaisista pistetiedoista. Kun vastauksessa kulkee hash ja se tieto, mistä se on laskettu, voidaan palvelimella laskea hash uudestaan saadusta selväkielisestä pistetiedosta ja verrata sitä saatuun hashiin. Nyt jos hashit täsmäävät, pisteisiin voidaan todennäköisesti luottaa, ja jos ne eivät täsmää, on selväkielistä tietoa käpälöity.

Aa. Nyt selkis. Jää tähän vieläkin aukkoja joita tuo ei estä, mutta kiitos paljon vinkeistä. Näillä pääsee jo pitkälle

[Virgo]

Juurikin näin. Unohdin tuossa aikaisemmassa viestissä mainita, että tuo hash lasketaan juuri noista highscore tiedoista, mitkä palvelimelle lähetetään, käyttäen sitä binääriin koodattua avainta. Tuota samaa avainta käyttäen lasketaan palvelimen päässä taas md5 summa niistä lähetetyistä tiedoista. Tätä verrataan tietojen mukana saatuun md5 summaan, ja jos ne täsmäävät, voidaan olettaa, että tiedot ovat todellakin peräisin ohjelmastasi, eikä niitä ole muutettu matkan varrella. Kuten sanoin, tämäkään ei täysin turvallinen ole, mutta estää ainakin pikaiset yritykset väärentää highscore listaa.

Edit: asia näytti sinulle jo selkiytyvänkin

[mikko93]

...
Kannattaa myös vähän kattoa mitä antaa käyttäjän syöttää noihin GET muuttujiin. Voi nimittäin tulla ikävä yllätys jos joku jonkun SQL-injetion tuonne heittää.
...

Tästä vielä, että tämä koodin pätkä ilmeisesti ratkaisee tuon ongelman?

Koodi: Valitse kaikki

// Protect against sql injections
$udid  = mysql_real_escape_string($udid);
$name  = mysql_real_escape_string($name);
$score = mysql_real_escape_string($score);

Löytyy siis tuosta esimerkistä valmiina.

[Kaivuri]

Ai siellä olikin tuollaset, enpä huomannut kun sitä pikasesti selasin.

$_GET['secret'] tuolle ei mitään validointia tehdä, mutta ei kai se ole pakollista olekaan. Ite kyllä tottunut kaikki syötteet tarkistamaan, ettei nyt varmasti pääse mitään vääriä tulemaan.