基本上我有iOS应用程序向我的网站上包含其位置的php文件发送POST请求,然后php文件连接/发送到mySQL数据库,反之亦然。一切正常,等等,但我真正想要的是一种方法,以确保没有人可以制作一些虚假脚本发送POST请求到我的PHP文件,并渗透数据库。
我的第一个想法是拥有某种关键"也会被发送以检查它是否与php文件中的匹配。我可以让它像这样https://www.grc.com/passwords.htm。无论如何,我担心这不像我想要的那样安全(或有效)。审核我的代码以便接受进入App Store的人会看到它,对吗?
很抱歉,如果这是一个愚蠢的问题,但是确保只能从mySQL数据库(以及PHP文件)发送/接收数据的最佳方法是什么?
谢谢!
答案 0 :(得分:0)
Jajaja"对不起,如果这是一个愚蠢的问题"。除非你没有学习的愿望,否则永远不会有一个愚蠢的问题。
我也有一个类似的问题,而且你想要保护你操纵的数据是正确的,因为它非常重要。 您必须同时看到客户端和服务器。
例如,在客户端:
1)您是否向服务器发送数据以使其可能不清晰?
2)您使用的是https吗?
或在服务器中:
1)您的服务器是否能够识别数据何时到达可靠?
2)您是否对数据使用任何算法加密?客户端加密和服务器解密或反之?
并不总是因为他们使用钥匙,总是安全的。我希望这对你有用,并为我的英语道歉:)
答案 1 :(得分:0)
•通过SSL
发送•在您的应用中实施SSL Pinning
•使用salt可选地散列全部或部分数据/查询参数等,并将此散列与其余散列一起传递。在服务器上散列/加盐参数/数据等,并验证盐匹配。他们必须绕过ssl,你的固定,然后RE你的应用程序来提取你采用盐和盐本身的方法。 example here
•至于php / server端,你想要清理任何进入mysql的东西。 Example
这是一个“开始”。
答案 2 :(得分:0)
问题的症结似乎是:"渗透数据库"。
避免这种情况是通过从不向db发出用户创建的命令来实现的。拦截所有用户请求,解析,验证和提取信息。如果一切正常您的代码使用已清理的参数向db发出请求。
SSL将保护传输中的数据。您还需要防止创建攻击请求的攻击者。