Hallo, ich habe ein Login Script geschrieben für mein Programm. Momentan funktioniert das so:

Client logt sich ein => Daten an Server
Server gibt Antwort OK / Logindaten falsch => Client reagiert.

Die Daten sind in einer ini Datei gespeichert.
Jetzt möchte ich das ganze über die MySQL Datenbank vom Webserver machen. Ich möchte die Datenbank aber aus Sicherheitsgründen nicht direkt ansteuern sondern ein PHP Script was z.b. OK oder Falsch ausgibt wenn man es mit bestimmten Parametern aufruft.

Check.php?username=123&passwort=123&version=2.1

so z.b.

Das Problem: Ich will nicht das jemand das mitsniffen kann mit Wireshark oder anderen und mit einem Paketsender die Pakete fakt.
Das heißt ich müsste das OK verschlüsseln. Das Problem dabei ist: selbst wenn ich das verschlüssle, kommt immer wieder der gleiche Hash beim Login bei raus weil es ja nur richtig oder falsch gibt. Gibt es da eine möglichkeit das zu unterbinden oder vielleicht sogar eine bessere alternative?

über https(SSL).
Zudem würde ich nicht das Passwort, sondern einen Hash senden

und was ist bei ssl anders? wenn ich einen hash schicke, muss ich ja das passwort clientseitig crypten und durch php wiededer entcrpten. Das Problem ist das meine php Kenntnisse nicht sooo berauschend sind. Ausserdem löst es ja noch immer nicht das Problem, das der Server immer nur 2 Antworten zurück gibt ( Ja / Nein ). Ich möchte ja verhindern das man durch Cheat Engine noch durch Wireshark / WPE die Login Sequenz überspringen kann.

Bei SSL handeln Client und Server einen Session-Key aus, der zudem wechselt- Mit diesem wird die Kommunikation dann gesichert

Wenn Du den Hash sendest, musst Du nicht mehr decrypten, was sowieso nicht geht. Einfach gucken, ob der geschickte Hash mit dem Hash des Passwortes übereinstimmt.

Wenn schon nicht SSL, dann wenigstens via SALT gehaschte Passwörter.

Also vorher bekommt der Client eine Sequenz geschickt, zusammen mit dieser wird das Passwort gehasht,
welches dann bei einem gleichbleibendem Passwort jedesmal ein anderer Hash generriert wird.

Es wird also das belauschen des Passwortes erschwert und es bringt nix, wenn jemand diesen Hash mitloggt und ihn (den Hash) dann für eine eigene Anmeldung mißbrauchen ist so nicht mehr möglich, da der Hash ja nur einmal gültig ist und sich zusammen mit dem sich änderntem SALT vom Server verändert.

Wie genau würde das denn mit SSL funktionieren? Habe noch nicht damit gearbeitet. Muss man da was spezielles beachten?

Der Webserver muss dass unterstützen

Ich hole da mal etwas weiter aus.

SSL wird immer dann benutzt, wenn Du eine URL mit https:// am Anfang aufrufst.
Der Webserver muss SSL unterstützen (es gibt eigentlich keine, die das nicht tun) und benötigt für diese IP-Adresse und die URL ein Zertifikat. Das kostet Geld, wenn man ein richtiges haben will. Man kann die auch selber machen (self-signed certificate) und das kostet dann nichts - aber dann wird der Browser eine Fehlermeldung anzeigen, dass das Zertifikat nicht von einer gültigen Stelle (z.B. VeriSign) signiert wurde und fragt beim Benutzer nach, ob man dem Server wirklich vertraut.

Da Du aber nicht mit einem Browser dorthin connectest sondern mit einem eigenen Client kannst Du hier den Benutzer aussen vor lassen.

SSL sorgt nun dafür, dass die gesamte Verbindung mit dem Webserver verschlüsselt wird. Und der Key wechselt bei jedem Besuch der Seite.

Das heisst, die Verbindung zwischen Deinem Client und dem PHP-Script ist komplett verschlüsselt. Man kann weder den Benutzernamen noch die Antwort des Webservers auslesen oder auch nur kopieren, weil sich der Key ja immer ändert.

Ich habe jetzt ein bisschen rumexperimentiert. Dafür habe ich dieses Script verwendet:

Von der Delphi Seite her klappt zurzeit alles Problemlos. Woran es scheitert ist ein PHP Script, welches die SQL Datenbank über PHP ausliest.

Hat jemand was ähnliches fertig=