sqStorage Webbasierte Mini-Lagerverwaltung

[braegler]

Die API (also wirklich die api.php) überprüft bereits von selbst ob die Registrierung aktiv ist und ob ein gültiger Login vorliegt
Ist sie inaktive, kann voll* auf die API zugegriffen werden
*(Voll bedeutet auf die Tabellen: customfields,fielddata,headCategories,images,items,storages,subCategories)

Ist die Registrierung aktiv wird ohne gültigen Login kein Zugriff zugelassen.
Login bedeutet: Entweder
-eine gültige Session beim Zugriff über z.B. AJAX
-Login über einen expliziten Login mit Username und Password call gegen die API

Liegt ein gültiger Login vor, können Gäste (usergruppe 2) nur lesen (GET), aber nicht schreiben (PUSH/PUT/DELETE/PATCH)

Spoiler: Wo's passiert

In den Zeilen 12387 bis 12391 der api.php ( https://github.com/schnoog/sqstorage/blob/master/api.php ) wird der Zugriff für Usergruppe 2 geregelt
Nur die operationen "list" und "read" ( beides GETs]) is erlaubt. Für alle anderen Operationen wird mit "return false" der Zugriff verweigert.

if($ug == 2){
      if($operation  == "list") return true;
      if($operation  == "read") return true;
      return false;
}

sqstorage/REST_API.md at master · schnoog/sqstorage

A easy to use and quick way to organize your inventory, storages and storage areas - sqstorage/REST_API.md at master · schnoog/sqstorage

github.com

Btw: Die API ist ein drop-in. Also eine einzelne Datei die keinerlei sonstiger Abhängigkeiten hat (ausser natürlich ne vorhandene dba.php)
Wenn Du Sie Dir aus meinen Branch (GitHub - schnoog/sqstorage: A easy to use and quick way to organize your inventory, storages and storage areas) runterlädst und ins Hauptverzeicnnis schmeisst, kannst Du schon drauf loslegen (htaccess-Eintrag ist nicht notwendig, musst dann halt nur "api.php" anstatt "api" aufrufen)

GET http://sqstorage-uri/api.php/records/storages/

sollte Dir dann alle vorhandenen Lagerplätze anzeigen.
(Ich hab Download für mich entdeckt um damit auf die API einzuballern. GET requests kann man natürlich auch einfach im Browser aufrufen.

 

[theSplit]

Hm, okay, das klingt ja schon ganz gut.

Was mir nicht so gut gefällt:

- Login über einen expliziten Login mit Username und Password call gegen die API

[...] runterlädst und ins Hauptverzeicnnis schmeisst, kannst Du schon drauf loslegen..

Ist da irgend ein Sicherheitsmechanismus in der API hinter? Gegen Flooding, Bruteforce oder gar Ddos?
Wäre es möglich so etwas zu integrieren? Zum Beispiel dass gegen eine Tabelle in der DB überprüft wird ob bereits ein Zugriff vorliegt, wann, und wie oft Fehllogins gemacht worden sind - oder ähnliches?

Vielleicht sollte auch ein genereller API-User in der Datenbank angelegt werden, das dieser von anderen Accounts isoliert wird und entsprechend Settings für die API Usage geregelt werden können?
Heißt der Admin kann entscheiden "ob die API aktiviert wird", kann den Usernamen setzen und ein Passwort und kann vielleicht sogar regeln was über die API gemacht werden kann?

Ich will dir die Idee nicht austreiben, sind aber 2-3 Gedanken dazu.

 

[braegler]

Sicherheitsmechanismus gibt es da bisher keinen (ist aber auch login.php auch nicht implementiert).
In Sachen Zugriffsschutz steht sie der aktuellen "WebApp "in Nichts nach.

Ab Zeile 8108

if ($path == 'login') {

der api.php folgt der Login gegen die Datenbank.
Das ist beliebig erweiterbar und könnte man dann im Zuge des Einbaus eines Rate-Limiter in der login.php mitziehen.
Das braucht ja ein neues DB Feld (oder Tabelle), dann kann man das in einer DB Migration unterbringen.

Erstell doch auf github einen Development branch. Dann den PR dort rein mergen (hat ja keine Konflikte).
Den kannst Du dann relativ einfach in den Master mergen wenn alles läuft wie gewünscht (und den "aktuellen" Dev Stand kann man damit einfach abgleichen.

 

[theSplit]

@braegler
Ich hab die API mal etwas gebugfixed - allem voran ein relativer statt eines absoluten Pfades.

Übrigens, ich finde die aktuelle Lösung mit XMLHttpRequest auf "nicht async" nicht unbedingt gut, weiß aber auch gerade nicht, wie man es anders lösen könnte. Firefox akzeptiert es, wirft aber nen "Hinweis dass das veraltet ist". Vielleicht fällt dir ne Lösung ein die das umschifft bzw. nicht direkt so verwendet. Also eine Lösung ohne das "return" bei "GetDataField" und "SetDataField".

 

[theSplit]

@braegler :
Mir ist noch etwas aufgefallen, wenn man als "Gast" eingeloggt ist, sieht man noch die Buttons zum Ändern des Namens der Kategorie, allerdings scheint dass schon soweit zu funktionieren, dass Änderungen keine Auswirkungen haben, was richtig ist.

Und noch ein Punkt, wäre es möglich das Modal so zu erweitern, das wir alle "window.alert" und "window.confirm" Prompts damit ersetzen? Ich find das mit dem Modal eigentlich ganz schick, die Alert und Confirm sind halt vom Browser direkt, sehen aber nicht sonderlich gut aus.

 

[braegler]

Das mit dem Modal sowie dem Namenänderungsbutton sollte kein Problem sein.

Bin gerade dabei einen Login-Limiter einzubauen
bis zu 3 fehl-logins alles i.O.
von 3 bis 9 wird jeweils um 3-9 Sekunden gedrosselt
bei 10 wird der Login verweigert.
Nach 900 Sekunden ist der nächste Versuch möglich
Erfolg setzten den Counter zurück.

Werde das auch in der API einbasteln.

 

[theSplit]

@braegler : Verstehe ich richtig, dass du den Login-Limiter über die API realisieren willst oder doch im Backend mit PHP/MeekroDB?
Bei so einem Core-Feature würde ich fast dazu tendieren das nativ in PHP und mit MeekroDB zu realisieren, falls nicht so angedacht. Und was dabei dienlich wäre, eine Option diesen Login-Limiter ein bzw. auszuschalten. Ähnlich so, wie es mit den PrettyURLs und Co der Fall ist. Wobei der Standard "aktiviert" sein sollte.

Noch eine kleine feine Sache, wenn du die "Login.php" einbindest, also mit include oder require - wird die Smarty Variable "isGuest" gesetzt, je nach Status des Logins. Das passiert in Login.php in Zeile 49 bis 53.

if ((int)$user['usergroupid'] === 2) {
    $smarty->assign('isGuest', TRUE);
} else {
    $smarty->assign('isGuest', FALSE);
}

Ich habe geplant am Wochenende an einem "Folding" (Ein/Ausklappen) für die Lagerplätze zu arbeiten, sollte recht schnell gehen und danach an einer Sortierfunktion für die Tabellenspalten in der Lagerübersicht und den Kategorien. Wird wohl auf eine Javascript Lösung hinauslaufen.

 

[braegler]

Genau mit {if !$isGuest}Zeig Mir den Button{/if}
hab ich das jetzt mal umgesetzt.
Zum Login-Limiter
bisher ist der Rate-limiter dauerhaft angeschaltet
Die notwendigen Felder werden bei Bedarf in der users Tabelle erstellt
In der api.php wird ein pdo-call gegen die DB geworfen und die selbe Logik (+ check ob das neue Feld api_access auf 1 ist) abgefahren.

Ist im Master-branch GitHub - schnoog/sqstorage: A easy to use and quick way to organize your inventory, storages and storage areas
Bisher gibt es aber auch noch keine Möglichkeit den api-access zu setzen (1 oder 0 durch den Admin), daher warte ich mit dem PR noch.

Folding hatte ich mal minimalistisch eingebaut ( GitHub - schnoog/sqstorage at collapse , alles in der templates/inventory.tpl) allerdings ohne cookie oder Session Bindung, könnte ich problemlos in meinen master mergen und mit in den PR packen.

 

[braegler]

Das mit dem Modal sowie dem Namenänderungsbutton sollte kein Problem sein.

Namenänderungsbutton war wie vermutet einfach, Modal für Ersatz von alert und confirm scheinen ein anderes Kaliber zu sein.
Da muss ich erst noch hinter steigen.

Hab jetzt in der settings.php die Möglichkeit eingebaut usern API Zugriff zu gewähren bzw. zu entziehen.

Das Rate-Limiting ist bisher noch nicht in der Config de-/aktivierbar. Die Hauptconfig anzupassen halte ich für unglücklich, da die so beim Update durch den Admin-User "angefasst" werden müsste. (Böse gesagt: Ist ein Sicherheitsfeature wie die Erzwingung eines sicheren Passworts, wieso muss man das deaktivieren können?)

Hab noch den typo in der api ausgebessert (sub- und headcategories hatte ich als Camelcase drin) und gerade einen PR erstellt.

 

[Steeve]

Wenn man unter "Kategorien" die "Oberkategorie" wählt, springt er immer wieder nach oben zum Seitenanfang. Ich fände es aber gut, wenn er bei der Position bleibt, so dass man besser weiter machen kann:



Warum so bescheiden. Ich würde den Titel von

sqStorage Webbasierte Mini-Lagerverwaltung

ändern in

sqStorage Webbasierte Lagerverwaltung

 

[veso]

Hallo *,

ich bin hier völlig neu. Habe diese kleine Lagerverwaltung vor kurzem auf der Suche nach genau so etwas überschaubarem gefunden.
Letzte Tage habe ich sie erfolgreich auf meinem Raspi installiert und eben noch die nginx.conf angepasst. Soweit erst einmal alles gut.

Ihr habt da ein feines Stück Software erstellt. Habe leider selbst keine Ahnung von php, aber schon erfolgreich ein größeres Projekt mit MariaDB erstellt, allerdings mit M$-VBA, aber bzgl. DB ist das ja weniger erheblich.

Ich die Richtung geht jedenfalls auch meine Frage:
Mittels inventory.php kan man ja den Lagerbestand einer einzelnen Kategorie anzeigen lassen. Die Anzeige hätte ich gerne alphabetisch nach der Bezeichnung sortiert. Kann mir jemand erklären, welche der reichlich vorhandenen SQL-Abfrage ich um ein "ORDER BY ..." erweitern muss. Ich gehe aus meiner mySQL-Erfahrung mal davon aus das es so recht einfach geht. Kann mich natürlich auch völlig irren.

 

[braegler]

Hi,
das müsste die Zeile 405

 $items = DB::query('SELECT * FROM items WHERE storageid=%d', $store['id']);

sein. "ORDER BY" muss dabei hinter "%d" gesetzt werden.
Allerding killt ein Update das dann wieder.
Es gibt dazu schon ein Issue (Interactive sorting of basic fields · Issue #65 · jrie/sqstorage), und wenn mich nicht Alles täuscht ist theSplit dabei das zu integrieren.

 

[theSplit]

Wenn man unter "Kategorien" die "Oberkategorie" wählt, springt er immer wieder nach oben zum Seitenanfang. Ich fände es aber gut, wenn er bei der Position bleibt, [...]

Hi @Steev , das wäre sehr wohl möglich. Das Fenster wird neu geladen nach der Änderung. Mir fallen spontan dabei 2 Möglichkeiten ein:
1) zu dem "alten" Lagerort springen so bald die Seite geöffnet wird, nach einem "Reload". Etwas ungenau.
oder genauer:
2) über einen Cookie die Scrollposition innerhalb der aktuellen Liste speichern und bei Existenz dorthin zu springen

Es gibt dazu schon ein Issue (Interactive sorting of basic fields · Issue #65 · jrie/sqstorage), und wenn mich nicht Alles täuscht ist theSplit dabei das zu integrieren.

Hi @braegler - Danke für deinen Support! Schreib mich mal bitte an, hier über das Forum.
Das Sortieren steht ganz oben auf der Liste, war eigentlich ein Feature an dem ich schon länger arbeiten wollte aber wegen Gründen nicht dazu gekommen bin. Kommt aber bald™.

Ich bin hier völlig neu. Habe diese kleine Lagerverwaltung vor kurzem auf der Suche nach genau so etwas überschaubarem gefunden.
Letzte Tage habe ich sie erfolgreich auf meinem Raspi installiert und eben noch die nginx.conf angepasst. Soweit erst einmal alles gut.

Ihr habt da ein feines Stück Software erstellt.

Hallo @veso , kurz vorweg, dein Posting geht runter wie Öl!
Und freut uns, wenn du sqS bzw. sqStorage für dich entdeckt hast.

Ich die Richtung geht jedenfalls auch meine Frage:
Mittels inventory.php kan man ja den Lagerbestand einer einzelnen Kategorie anzeigen lassen. Die Anzeige hätte ich gerne alphabetisch nach der Bezeichnung sortiert. Kann mir jemand erklären, welche der reichlich vorhandenen SQL-Abfrage ich um ein "ORDER BY ..." erweitern muss. Ich gehe aus meiner mySQL-Erfahrung mal davon aus das es so recht einfach geht. Kann mich natürlich auch völlig irren.

Du kannst den Weg wie von @braegler genannt, verwenden mit dem "ORDER BY label ASC".
Wobei "label" gleich Gegenstandsname/Bezeichnung ist.

Meine Lösung die noch in Planung ist, wird eine dynamische Sortierung über Javascript lösen, ohne weitere Datenbankabfragen.
Aktuell ist dies allerdings eine noch geplante Funktion und noch nicht enthalten, ich kann nur soviel sagen, es kommt und ich arbeite daran.

 

[veso]

Guten Anbend zusammen,

zunächst einmal danke an @braegler, für die schnell und passend "servierte" Lösung. Genau so habe ich es gemacht. Und gelegentlich die Abfragen anzupassen ist nicht wirklich aufwendig. Abgesehen davon ist es ja nur eine Sortierung, selbst wenn die mal anders ist, geht da für mich die Welt nicht gleich unter.

@theSplit, Deine Lösung mit der dynamischen Sortierung ist natürlich deutlich eleganter. Aber für solche umfangreichen Dinge fehlt mir leider jeglicher Durchblick in php.

Gibt es zu php und speziell in Verbindung mit mySQL/MariaDB eigentlich etwas in deutscher Sprache, wo ich mich belesen kann?

Ich habe mir in dem Zusammenhang auch das Feld "date" in der Tabelle "items" auf Anpassung bei Datensatzänderung umgestellt. Muss aber dazu sagen, das ich mit dieser kleinen DB zunächst erstmal unsere kleinen Lebensmittelvorräte (verteilt auf mehrere Lagerorte im Haus) erfassen will. Bin einfach zu faul, jedesmal durchs Haus zu rennen, um zu sehen ob Produkt A oder B noch da ist...

Gruß VeSo

 

[theSplit]

@veso - hi!

Also die eigentliche Sortierung soll dann über Javascript laufen, nicht direkt im Backend über PHP oder mariaDB.
Ob es passende, deutschsprachige Lektüre bzw. Dokumentation für mariaDB gibt, da bin ich etwas überfragt. Aber vielleicht hat jemand anderes da einen Tipp für dich.

Ansonsten natürlich schön, wenn du einen Anwendungsfall für das System hast. sqStorage ist durch die dynamischen Datenfelder ja sehr flexibel im Einsatz. Nur braucht die Anzeige der dynamischen Datenfelder noch etwas Liebe. So dass diese auch in der Übersicht eingesehen werden können. "Irgendwann", soll das auch kommen.

Die Software hat aber noch einige Baustellen, "großes ist geplant", aber der Teufel steckt, sprichwörtlich, im Detail und es gibt noch viel zu tun.

Wenn du eine konkrete Frage zu mariaDB bzw. SQL in Verbindung mit sqStorage hast, vielleicht können wir das auch hier klären bzw. aushelfen.

 

[braegler]

Was die Lektüre angeht, hab ich damals IIRC (bin auch über VBA zu php geschliddert) mit php5.x und MySQL- Das umfassende Handbuch angefangen
Aktuell ist Version 8, aber selbst mit der 5er kommt man im Grunde noch klar.

Spoiler

Die 7er Version gibt es bei libgen

Library Genesis: Tobias Hauser; Christian Wenz - PHP 7 und MySQL Das umfassende Handbuch

Library Genesis is a scientific community targeting collection of books on natural science disciplines and engineering.

libgen.is

Sprachlich hat sich seit damals nicht viel verändert ,zum Einsteigen durchaus brauchbar.

 

[Steeve]

Ich bin erstmal fertig mit dem inventarisieren oder wie @theSplit zu mir sagte: "Inventar your Life"

Jetzt mache ich bei Zeiten noch ggf. Änderungen der Bezeichnungen für die Unterkategorien.

Neue Anschaffungen, z.B. Technik, werden natürlich jetzt sofort übernommen. Und ja, ich warte auch auf die Sortierung

 

[theSplit]

Die Sortierung ist nun fertig und auf Github eingebunden.

Ein kurzes Video dazu:
https://www.picflash.org/picture.php?key=NQ695R&action=show

Viel Spaß beim Testen.

 

[theSplit]

Dank @braegler sind zwei neue, angefragte, Features hinzugekommen:
1) Animiertes ein und ausklappen der Lagerplätze
2) Bildupload schon beim ersten Eintragen in den Inventar

Das hat auch gleich zwei Issues/Feature Requests auf Github abgeschlossen, vielen Dank dafür!

 

[Steeve]

Das animierte Ausklappen ist top, schafft mehr Übersicht. Das mit dem Foto ist auch gut, wobei ich da zuletzt gedacht habe, Nobody is perfect, der kleine Umweg über - Erst erstellen -> dann raus -> dann in das Iventar -> dann Bild Upload - war ok für mich

Ein bisschen Arbeit kannst du dem User überlassen