Krautkanal.com

Veröffentlicht am 2015-03-20 18:52:31 in /prog/

/prog/ 6810: Folgendes Problem: Ein Verein in dem Bernd ist hat ein...

kuldarkalvik Avatar
kuldarkalvik:#6810

Folgendes Problem:
Ein Verein in dem Bernd ist hat eine Heimseite bei Jimdo. Auf dieser sollen sich Mitglieder für Veranstaltungen anmelden können.

Nun würde Bernd gerne von seinem eigenen Server aus ein Script einbinden um dieses zu ermöglichen.

Frage nun ist: womit bastelt Bernd das Script am besten?

Bernd hat mit sowas bisher keinerlei Erfahrung, würde jedoch gerne soweit wie möglich selbst machen also keine vorgefertigten Lösungen verwenden für den Lerneffekt.

aleclarsoniv Avatar
aleclarsoniv:#6811

Egal. Hauptsache kein PHP.

Java, Erlang, Python, Ruby, Haskell, wurscht. Was auch immer dir am besten Gefällt.

gmourier Avatar
gmourier:#6812

Python + Flask + Flask-Login + Flask SQLAlchemy

nehemiasec Avatar
nehemiasec:#6814

>>6812
Genau. Und am besten noch mehr Frameworks um dieses Script aufzubloaten.

Oder du schreibst 20 Zeilen PHP

liang Avatar
liang:#6815

>>6814

Raus. Das geht in der beliebigen Sprache in 20 Zeilen. PHP ist eine Geisteskrankheit.

davidbaldie Avatar
davidbaldie:#6816

Auch wenn hier PHP vollkommen zurecht schlimmer als Käsepizza gehandhabt wird, lass dir von einem Computer-Typ-im-Sportverein-Bernd sagen, dass es damit doch am schnellsten geht. Vor deinem Problem stand dieser Bernd vor gut fünf Jahren ebenso, hat dann ein kleines Schnell-und-Drecking PHP-Skript mit simpler MySQL-Datenbankanbindung gekotet - so richtig 08/15 eben - und nutzt dieses in jeweils leicht modifizierter Form seit diesem Zeitpunkt an routiniert für verschiedenste Wettkämpfe.

Falls du wirklich noch gar keine Erfahrungen hast, dann solltest du hier jedoch auf Sicherheitslücken, besonders die Klassiker SQL-Injection und XSS, aufpassen. Wenn es dein erstes Skript ist, solltest du es vielleicht nicht direkt weltweit zugänglich machen. Es gibt immer ein paar Menschen, die gerne spielen .. und bei dümmsten Programmierfersagen wird keiner mit dir Mitleid haben.

rcass Avatar
rcass:#6817

>>6815
Da stimmt dir dieser >>6816 Bernd zwar vollkommen zu, aber leider bieten die normalen Wirte Hoster als CGI lediglich PHP an. Antike vielleicht noch Perl, aber hey.. 2015, du weißt?!

curiousonaut Avatar
curiousonaut:#6818

Ich schaute mir mal eben das Angebot dieses Hosters an.. Oh hunt!
Wie es aussieht, hat man da seinen voll kühlen WDSIWDB-Klick-und-Zieh-Editor und das wars. Wenn du kantig sein willst, dann migriere da sofort weg und nimm einen Hoster, wo du auch kühl Skripts ausführen kannst.

solid_color Avatar
solid_color:#6819

>>6818
Dies. Gibt mittlerweile genug Cloud-Startups, die einen guten Umsonst-Service bieten. Und da kriegt man teilweise ganze VMs geschenkt, kann da also wirklich jede Programmiersprache benutzen.

Google Appengine hat auch großzügige Free-Quotas.

joshhemsley Avatar
joshhemsley:#6821

OP hier.

>>6818
Umziehen ist nicht drin weil die Seite gerade erst neu ist und alte Leute das nicht verstehen würden. Es ist jedoch möglich auf der Seite den HTML-Kot zu bearbeiten. Bernd hat wie gesagt einen eigenen Root-Server deshalb sucht Bernd da nach einer passenden Lösung.

>>6811
>Java
Das wäre ganz gut, da hat Bernd immerhin noch rudimentäre theoretische Kenntnisse aus seiner Schulzeit. Allerdings hat Bernd noch nie mit Java im Web gearbeitet, gibt es dazu anfängerfreundliche Tutorials?

orkuncaylar Avatar
orkuncaylar:#6827

>>6821
> Java
Bitte tu es nicht! Da die Daten ja bei dir gespeichert werden müssen, musst du folglich kein Java-Applet 2015, hallo? schreiben, sondern den serverseitigen Rotz. Als ein Bernd, der leider schon viel mit Tomcat und Co. arbyten musste sage ich dir: LASS ES! Die Einstiegshürden sind künstlich hoch gesetzt, du musst auf jeden Fall mehr als nur "etwas Schuljava" können und ganz nebenbei fickiert es die Leistung deines Root-Servers.

Also, da ich dieser >>6816 Bernd bin, wiederhole ich, was ich bereits sagte: Kote 50 Zeilen in einer beliebigen Scriptsprache, die auf Webgedöns ausgelegt ist, und gut ist. Die Anfragen kannst du von eurem tollen Klickibunti-Gedöns an dein CGI-Script senden, welches diese dann auswertet und direkt zurückleitet. Dies würde wohl auch ganz nett mit JavaScript auch Krebs bewerkstelligen.

Aber bitte, und das meine ich im vollen Ernst, schlage dir die Idee aus dem Kopf, dass du das in Java schreiben solltest! Das wäre ein grausamer Überkill, an dem du zugrunde gehen wirst. Vertraue mir, bitte.

kennyadr Avatar
kennyadr:#6828

>>6827
Auch wenn dieser Bernd es ungern zugibt: Bernd hat Recht.

Säge weil PHP.

suprb Avatar
suprb:#6830

>>6827
>JavaScript
Aber JavaScript darf doch gar keine Dateien erstellen oder ändern?

shoaib253 Avatar
shoaib253:#6835

>>6830
Bitte sei ein Troll..
Andernfalls: Natürlich darf es das nicht. Außer bei serverseitigem JS Krebs zum Quadrat. Es wurde gemeint, dass das CGI-Script via JS dynamisch aufgerufen wird, sodass es der DAUser gar nicht mitbekommt.

marciotoledo Avatar
marciotoledo:#6838

Die Einbindung geht fix über ein iframe aber die Optionen zur Realisierung einer dynamischen Seite sind nur durch deine Fantasie begrenzt. Im Katalog gibts einen Faden dazu: >>/prog/5939
Bernd hat Freude mit Indianerflaschen. (Flask (Python), Apache)

Das ist aber ein komplexes und gefährliches Thema. Einen Anbieter mit entsprechenden vorinstallierten Äpps zu wählen wäre keine Schande.

>>6817
>leider bieten die normalen Wirte Hoster als CGI lediglich PHP an
Also meiner bietet auch Python und Ruby und was nicht alles an. Und ich habe damals nicht darauf geachtet, kann also nicht sonderlich exotisch sein.

thehacker Avatar
thehacker:#6839

Habe das jetzt in PHP gebastelt, nur die Übergabe von Heimseite an Server gelingt noch nicht, naja zur Not gibts halt nur einen Link auf der Heimseite und Bernd macht alles auf seinem Server.

Säge weil PHP.

oskamaya Avatar
oskamaya:#6840

>>6839
Bitte sage mir, dass du die Parameter sowohl vor dem Speichern in die Datenbank, außer PDO-Gedöns, und vor dem Ausgeben jeweils prüfst und ggf. maskierst. Andernfalls..
Vollkommen unrelatiert: für welche Sportart soll dies denn sein? So eine Software gibt es ja schließlich sowohl im Allgemeinen wie auch spezifisch zugeschnitten schon zu Mass'.

bobwassermann Avatar
bobwassermann:#6842

Habe nun alles ans laufen gekriegt. Tippversagen im Kot
Ist aber bestimmt ausnutzbar/10.

>>6840
>Bitte sage mir, dass du die Parameter sowohl vor dem Speichern in die Datenbank, außer PDO-Gedöns, und vor dem Ausgeben jeweils prüfst und ggf. maskierst.
? :3

>für welche Sportart soll dies denn sein?
Nirgendwo steht was von Sport.

>So eine Software gibt es ja schließlich sowohl im Allgemeinen wie auch spezifisch zugeschnitten schon zu Mass'.
Das mag sein, aber da lernt man nichts bei.

doronmalki Avatar
doronmalki:#6846

>>6840
Wo wir gerade über Anfänger-Webkrams sprechen...
Vorkompilierte Statements (also z.B. PDO) verwenden = Anwendung sicher gegen SQL-Injections?
Und
HTML-Zeichen maskieren = Sicher gegen XSS?
(Abgesehen von Sicherheitslücken in der verwendeten Sprache/Framework und unter der Annahme, dass die involvierten Server vernünftig konfiguriert sind)
Ist es so einfach?

antonkudin Avatar
antonkudin:#6847

>>6846
> Vorkompilierte Statements (also z.B. PDO)
PDO != Prepared Statements.
PDO ist der Treiber, über welchen du die Anfragen an die Datenbank sendest. Hierbei werden die Daten als Objekte gehandelt und nicht als Strings. Somit lassen sich 08/15-SQL-Injections bei richtiger Anwendung, z.B. als eben ein solche prepared Statement, absichern.

Ausgaben sollten gegen XSS natürlich auch gesichert werden, wie du schriebst.

Theoretisch ja, so ein Fach ist das. Außer natürlich, du hast z.B. noch I/O-Zugriffe und liest oder schreibst aus Dateien, dessen Pfad man beeinflussen könnte oder du lässt dynamisch Inhalte aus anderen Quellen nachladen oder oder oder.. da kann man wirklich kreativ sein.

kylefrost Avatar
kylefrost:#6862

>>6847
Oke, danke dir.