最安全的方式来“调用”一个php文件

时间:2013-07-18 14:33:25

标签: php mysql server-side-includes

我正在为我的客户创建一个应用程序,以添加到他们的网页中。但是,我正在托管存储此应用程序信息的数据库。我想做的就是在我的服务器上执行所有查询,并以某种方式将$ var传递给他们的服务器。 所以我想的是让我的PHP页面包含我服务器上的所有MYSQL凭证,并为他们提供一个代码来调用该页面并输出内容,例如

require_once('192.163.163.163/config.php');

但我敢打赌,这是最不安全的方式。我不想让任何人访问中央数据库,我正在处理所有请求。你们有什么建议我可以从我的数据库中提取数据并将其传递到$ var中的服务器而不打开任何门吗?

1 个答案:

答案 0 :(得分:3)

如果您无法放弃数据库凭据或系统的其他内部详细信息,但您需要客户端能够从您那里读取数据,那么唯一真正安全的方法就是将系统设置为客户可以调用的API。

不要试图将两个系统合并为一个应用程序;它会打开无法关闭的洞。

创建API原则上相当简单。只需创建一套普通的PHP程序,接受一组预定义的参数,以预定义的格式返回数据,调用程序可以轻松处理 - 例如,可能是JSON结构。

然后,客户端将通过HTTP调用简单地调用您的系统。他们永远不需要看你的代码;它不需要托管在同一台服务器上,甚至不需要用与你的系统相同的语言编写系统。

还有很多东西 - 当然,写一个不安全的API也很容易,你会想要了解如何编写一个好的API来避免这种事情 - 但这是你的出发点。我希望它有所帮助。