Einfache Serververwaltung mit PHP und MySQL Verbesserung: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 1: Zeile 1:
= Projekt: Einfache Serververwaltung mit PHP und MySQL =
 
 
 
== Ziel des Projekts ==
 
== Ziel des Projekts ==
 
Dieses Projekt zeigt, wie eine einfache Serververwaltungs-Webseite aufgebaut wird. Dabei lernen die Teilnehmer die grundlegende Interaktion zwischen PHP, MySQL und einer Web-Oberfläche.
 
Dieses Projekt zeigt, wie eine einfache Serververwaltungs-Webseite aufgebaut wird. Dabei lernen die Teilnehmer die grundlegende Interaktion zwischen PHP, MySQL und einer Web-Oberfläche.
Zeile 16: Zeile 14:
 
* Andere Benutzer dürfen nur Daten lesen
 
* Andere Benutzer dürfen nur Daten lesen
 
* Am Ende wird die Webseite mit HTTPS gesichert
 
* Am Ende wird die Webseite mit HTTPS gesichert
 
== Verbesserungen in dieser Version ==
 
* **Passwort-Hashing:** Passwörter werden nun mit `password_hash()` gespeichert und mit `password_verify()` überprüft.
 
* **Löschfunktion mit Auswahl:** Administratoren können Server über eine Checkbox-Liste auswählen und löschen.
 
* **TLS-Absicherung:** Hinweise zur Aktivierung von HTTPS wurden ergänzt.
 
* **Session-Handling verbessert:** Verhinderung unautorisierter Zugriffe.
 
* **Bessere Fehlerbehandlung:** Fehlermeldungen wurden überarbeitet, um weniger Informationen preiszugeben.
 
* **Eingabevalidierung:** Schutz gegen SQL-Injections und unerwartete Eingaben.
 
  
 
== Installation der benötigten Pakete ==
 
== Installation der benötigten Pakete ==
Zeile 41: Zeile 31:
 
   (Fragen zur Absicherung beantworten und Root-Passwort setzen)
 
   (Fragen zur Absicherung beantworten und Root-Passwort setzen)
  
== Serverliste anzeigen ==
+
== Anmeldung an der Datenbank ==
Dateiname: '''/var/www/html/liste.php'''
+
* '''mysql -u root'''
 +
 
 +
== Einrichtung der Datenbank ==
 +
Datenbank erstellen:
 +
* '''create database serververwaltung;'''
 +
 
 +
Zur neuen Datenbank wechseln:
 +
* '''use serververwaltung;'''
 +
 
 +
Tabelle für die Serverdaten anlegen:
 +
<pre>
 +
create table server (
 +
  id int auto_increment primary key,
 +
  rechnername varchar(50) not null,
 +
  ip_adresse varchar(50) not null,
 +
  betriebssystem varchar(50) not null,
 +
  festplattenspeicher int not null,
 +
  ram int not null,
 +
  hauptdienst varchar(50) not null
 +
);
 +
</pre>
 +
 
 +
Tabelle für die Benutzerverwaltung anlegen:
 +
<pre>
 +
create table benutzer (
 +
  id int auto_increment primary key,
 +
  benutzername varchar(50) not null unique,
 +
  passwort varchar(255) not null,
 +
  rolle enum('admin', 'user') not null
 +
);
 +
</pre>
 +
 
 +
== Benutzer anlegen ==
 +
* '''insert into benutzer (benutzername, passwort, rolle) values ('admin', password('radler'), 'admin');'''
 +
* '''insert into benutzer (benutzername, passwort, rolle) values ('kit', password('kit'), 'user');'''
 +
 
 +
== Speicherort der Skripte ==
 +
; Die Skripte werden im Verzeichnis '''/var/www/html''' abgelegt.
 +
 
 +
== Dateien ==
 +
 
 +
=== db.php ===
 +
<pre>
 +
<?php
 +
session_start();
 +
$servername = "localhost";
 +
$username = "root";
 +
$password = "passwort";
 +
$dbname = "serververwaltung";
 +
$conn = new mysqli($servername, $username, $password, $dbname);
 +
if ($conn->connect_error) {
 +
    die("Verbindung fehlgeschlagen: " . $conn->connect_error);
 +
}
 +
?>
 +
</pre>
 +
Erläuterung: Stellt die Verbindung zur MySQL-Datenbank her.
 +
 
 +
=== index.html ===
 +
<pre>
 +
<!DOCTYPE html>
 +
<html>
 +
<head>
 +
    <title>Serververwaltung</title>
 +
</head>
 +
<body>
 +
    <h2>Willkommen zur Serververwaltung</h2>
 +
    <p><a href="liste.php">Serverliste anzeigen</a></p>
 +
    <p><a href="login.html">Anmelden</a></p>
 +
</body>
 +
</html>
 +
</pre>
 +
Erläuterung: Die Startseite mit Links zur Serverliste und Anmeldung.
 +
 
 +
=== login.php ===
 +
<pre>
 +
<?php
 +
include 'db.php';
 +
if ($_SERVER["REQUEST_METHOD"] == "POST") {
 +
    $benutzername = $_POST["benutzername"];
 +
    $passwort = $_POST["passwort"];
 +
    $sql = "SELECT * FROM benutzer WHERE benutzername='$benutzername' AND passwort=password('$passwort')";
 +
    $result = $conn->query($sql);
 +
    if ($result->num_rows == 1) {
 +
        $_SESSION["benutzername"] = $benutzername;
 +
        header("Location: dashboard.php");
 +
        exit;
 +
    } else {
 +
        echo "Falsche Anmeldedaten.";
 +
    }
 +
}
 +
?>
 +
</pre>
 +
Erläuterung: Prüft die Anmeldedaten und startet eine Session.
 +
 
 +
=== dashboard.php ===
 
<pre>
 
<pre>
 
<?php
 
<?php
Zeile 51: Zeile 135:
 
     exit;
 
     exit;
 
}
 
}
$result = $conn->query("SELECT * FROM server");
+
echo "<h2>Willkommen, " . $_SESSION["benutzername"] . "</h2>";
if ($result->num_rows > 0) {
+
echo "<p><a href='liste.php'>Server anzeigen</a></p>";
    echo "<form method='post' action='loeschen.php'>";
+
echo "<p><a href='eintragen.html'>Server eintragen</a></p>";
    echo "<table border='1'><tr><th>Löschen</th><th>ID</th><th>Rechnername</th><th>IP-Adresse</th><th>Betriebssystem</th><th>Festplatte (GB)</th><th>RAM (GB)</th><th>Hauptdienst</th></tr>";
+
echo "<p><a href='loeschen.php'>Server löschen</a></p>";
    while($row = $result->fetch_assoc()) {
+
echo "<p><a href='logout.php'>Abmelden</a></p>";
        echo "<tr><td><input type='checkbox' name='loeschen[]' value='" . $row["id"] . "'></td><td>" . $row["id"] . "</td><td>" . $row["rechnername"] . "</td><td>" . $row["ip_adresse"] . "</td><td>" . $row["betriebssystem"] . "</td><td>" . $row["festplattenspeicher"] . "</td><td>" . $row["ram"] . "</td><td>" . $row["hauptdienst"] . "</td></tr>";
 
    }
 
    echo "</table>";
 
    echo "<input type='submit' value='Ausgewählte Server löschen'></form>";
 
} else {
 
    echo "Keine Server gefunden.";
 
}
 
 
?>
 
?>
 
</pre>
 
</pre>
 +
Erläuterung: Das Dashboard mit Links zum Eintragen und Löschen von Servern.
  
== Server löschen ==
+
=== loeschen.php ===
Dateiname: '''/var/www/html/loeschen.php'''
 
 
<pre>
 
<pre>
 
<?php
 
<?php
Zeile 76: Zeile 153:
 
     exit;
 
     exit;
 
}
 
}
if ($_SERVER["REQUEST_METHOD"] == "POST" && isset($_POST["loeschen"])) {
+
$result = $conn->query("SELECT * FROM server");
     $ids = array_map('intval', $_POST["loeschen"]);
+
if ($result->num_rows > 0) {
     if (!empty($ids)) {
+
     echo "<form method='post' action='loeschen_verarbeitung.php'>";
         $sql = "DELETE FROM server WHERE id IN (" . implode(",", $ids) . ")";
+
    echo "<select name='server_id'>";
        if ($conn->query($sql) === TRUE) {
+
     while ($row = $result->fetch_assoc()) {
            header("Location: liste.php");
+
         echo "<option value='" . $row["id"] . "'>" . $row["rechnername"] . "</option>";
            exit;
 
        } else {
 
            echo "Fehler beim Löschen.";
 
        }
 
 
     }
 
     }
 +
    echo "</select>";
 +
    echo "<input type='submit' value='Löschen'>";
 +
    echo "</form>";
 +
} else {
 +
    echo "Keine Server zum Löschen.";
 
}
 
}
 
?>
 
?>
 
</pre>
 
</pre>
 +
Erläuterung: Stellt eine Auswahl für das Löschen von Servern bereit.
  
== Eingabevalidierung ==
+
=== loeschen_verarbeitung.php ===
**Warum ist Validierung notwendig?**
 
Ohne Validierung könnten Benutzer fehlerhafte oder bösartige Daten in die Datenbank eintragen. SQL-Injections oder ungewollte Zeichenketten könnten die Anwendung beschädigen oder kompromittieren.
 
 
 
**Wie wurde die Validierung implementiert?**
 
* Bei der Serverlöschung wird `intval()` verwendet, um sicherzustellen, dass nur numerische IDs verarbeitet werden.
 
* Bei der Anmeldung wurde `password_verify()` für eine sichere Passwortprüfung integriert.
 
* In `eintragen.php` werden nur erlaubte Zeichen für die Felder akzeptiert:
 
 
 
Dateiname: '''/var/www/html/eintragen.php'''
 
 
<pre>
 
<pre>
 
<?php
 
<?php
Zeile 110: Zeile 180:
 
}
 
}
 
if ($_SERVER["REQUEST_METHOD"] == "POST") {
 
if ($_SERVER["REQUEST_METHOD"] == "POST") {
     $rechnername = htmlspecialchars(trim($_POST["rechnername"]));
+
     $server_id = $_POST["server_id"];
     $ip_adresse = filter_var($_POST["ip_adresse"], FILTER_VALIDATE_IP);
+
     $sql = "DELETE FROM server WHERE id=$server_id";
    $betriebssystem = htmlspecialchars(trim($_POST["betriebssystem"]));
+
     if ($conn->query($sql) === TRUE) {
     $festplattenspeicher = intval($_POST["festplattenspeicher"]);
+
        header("Location: liste.php");
    $ram = intval($_POST["ram"]);
+
        exit;
    $hauptdienst = htmlspecialchars(trim($_POST["hauptdienst"]));
 
    if ($ip_adresse && $festplattenspeicher > 0 && $ram > 0) {
 
        $sql = "INSERT INTO server (rechnername, ip_adresse, betriebssystem, festplattenspeicher, ram, hauptdienst) VALUES ('$rechnername', '$ip_adresse', '$betriebssystem', '$festplattenspeicher', '$ram', '$hauptdienst')";
 
        if ($conn->query($sql) === TRUE) {
 
            header("Location: liste.php");
 
            exit;
 
        } else {
 
            echo "Fehler: " . $conn->error;
 
        }
 
 
     } else {
 
     } else {
         echo "Ungültige Eingabe.";
+
         echo "Fehler: " . $conn->error;
 
     }
 
     }
 
}
 
}
 
?>
 
?>
 
</pre>
 
</pre>
 +
Erläuterung: Löscht einen ausgewählten Server aus der Datenbank.
 +
 +
  
 
== TLS-Absicherung ==
 
== TLS-Absicherung ==

Version vom 15. März 2025, 15:09 Uhr

Ziel des Projekts

Dieses Projekt zeigt, wie eine einfache Serververwaltungs-Webseite aufgebaut wird. Dabei lernen die Teilnehmer die grundlegende Interaktion zwischen PHP, MySQL und einer Web-Oberfläche.

Die Webseite soll folgende Daten verwalten:

  • Rechnername
  • IP-Adresse mit Netzmaske
  • Betriebssystem
  • Festplattenspeicher
  • RAM
  • Hauptdienst

Zusätzlich wird eine Benutzerverwaltung integriert:

  • Bestimmte Benutzer dürfen Daten eintragen, ändern und löschen
  • Andere Benutzer dürfen nur Daten lesen
  • Am Ende wird die Webseite mit HTTPS gesichert

Installation der benötigten Pakete

Zuerst müssen die notwendigen Pakete installiert werden:

Pakete aktualisieren:

  • apt update && apt upgrade -y

Benötigte Software installieren:

  • apt install apache2 mariadb-server php php-mysql libapache2-mod-php -y

Apache und MariaDB starten und aktivieren:

  • systemctl enable --now apache2 mariadb

Datenbank absichern:

  • mysql_secure_installation
 (Fragen zur Absicherung beantworten und Root-Passwort setzen)

Anmeldung an der Datenbank

  • mysql -u root

Einrichtung der Datenbank

Datenbank erstellen:

  • create database serververwaltung;

Zur neuen Datenbank wechseln:

  • use serververwaltung;

Tabelle für die Serverdaten anlegen: 

create table server (
  id int auto_increment primary key,
  rechnername varchar(50) not null,
  ip_adresse varchar(50) not null,
  betriebssystem varchar(50) not null,
  festplattenspeicher int not null,
  ram int not null,
  hauptdienst varchar(50) not null
);

Tabelle für die Benutzerverwaltung anlegen: 

create table benutzer (
  id int auto_increment primary key,
  benutzername varchar(50) not null unique,
  passwort varchar(255) not null,
  rolle enum('admin', 'user') not null
);

Benutzer anlegen

  • insert into benutzer (benutzername, passwort, rolle) values ('admin', password('radler'), 'admin');
  • insert into benutzer (benutzername, passwort, rolle) values ('kit', password('kit'), 'user');

Speicherort der Skripte

Die Skripte werden im Verzeichnis /var/www/html abgelegt.

Dateien

db.php

<?php
session_start();
$servername = "localhost";
$username = "root";
$password = "passwort";
$dbname = "serververwaltung";
$conn = new mysqli($servername, $username, $password, $dbname);
if ($conn->connect_error) {
    die("Verbindung fehlgeschlagen: " . $conn->connect_error);
}
?>

Erläuterung: Stellt die Verbindung zur MySQL-Datenbank her.

index.html

<!DOCTYPE html>
<html>
<head>
    <title>Serververwaltung</title>
</head>
<body>
    <h2>Willkommen zur Serververwaltung</h2>
    <p><a href="liste.php">Serverliste anzeigen</a></p>
    <p><a href="login.html">Anmelden</a></p>
</body>
</html>

Erläuterung: Die Startseite mit Links zur Serverliste und Anmeldung.

login.php

<?php
include 'db.php';
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $benutzername = $_POST["benutzername"];
    $passwort = $_POST["passwort"];
    $sql = "SELECT * FROM benutzer WHERE benutzername='$benutzername' AND passwort=password('$passwort')";
    $result = $conn->query($sql);
    if ($result->num_rows == 1) {
        $_SESSION["benutzername"] = $benutzername;
        header("Location: dashboard.php");
        exit;
    } else {
        echo "Falsche Anmeldedaten.";
    }
}
?>

Erläuterung: Prüft die Anmeldedaten und startet eine Session.

dashboard.php

<?php
include 'db.php';
session_start();
if (!isset($_SESSION["benutzername"])) {
    header("Location: login.html");
    exit;
}
echo "<h2>Willkommen, " . $_SESSION["benutzername"] . "</h2>";
echo "<p><a href='liste.php'>Server anzeigen</a></p>";
echo "<p><a href='eintragen.html'>Server eintragen</a></p>";
echo "<p><a href='loeschen.php'>Server löschen</a></p>";
echo "<p><a href='logout.php'>Abmelden</a></p>";
?>

Erläuterung: Das Dashboard mit Links zum Eintragen und Löschen von Servern.

loeschen.php

<?php
include 'db.php';
session_start();
if (!isset($_SESSION["benutzername"])) {
    header("Location: login.html");
    exit;
}
$result = $conn->query("SELECT * FROM server");
if ($result->num_rows > 0) {
    echo "<form method='post' action='loeschen_verarbeitung.php'>";
    echo "<select name='server_id'>";
    while ($row = $result->fetch_assoc()) {
        echo "<option value='" . $row["id"] . "'>" . $row["rechnername"] . "</option>";
    }
    echo "</select>";
    echo "<input type='submit' value='Löschen'>";
    echo "</form>";
} else {
    echo "Keine Server zum Löschen.";
}
?>

Erläuterung: Stellt eine Auswahl für das Löschen von Servern bereit.

loeschen_verarbeitung.php

<?php
include 'db.php';
session_start();
if (!isset($_SESSION["benutzername"])) {
    header("Location: login.html");
    exit;
}
if ($_SERVER["REQUEST_METHOD"] == "POST") {
    $server_id = $_POST["server_id"];
    $sql = "DELETE FROM server WHERE id=$server_id";
    if ($conn->query($sql) === TRUE) {
        header("Location: liste.php");
        exit;
    } else {
        echo "Fehler: " . $conn->error;
    }
}
?>

Erläuterung: Löscht einen ausgewählten Server aus der Datenbank.


TLS-Absicherung

Es wird empfohlen, HTTPS zu aktivieren, um die Verbindung abzusichern. Dies kann mit Let's Encrypt oder einem eigenen SSL-Zertifikat erfolgen.

Fazit

Mit diesen Verbesserungen ist die Serververwaltung sicherer und funktionaler. Administratoren können nun Server über eine Checkbox auswählen und löschen, während Eingaben validiert werden, um Missbrauch zu verhindern.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Einfache_Serververwaltung_mit_PHP_und_MySQL_Verbesserung&oldid=59967