我正在为Android和iOS创建一个应用程序,用户必须设置一个帐户,其中包含用户名,密码和邮件地址,以便在忘记密码时发送密码。这是一种游戏,所以它也可以在MySQL数据库中保存它们的输赢。所以不是真正的个人数据(如地址或电话号码)。
该应用程序通过PHP-Scripts(JSON和POST http方法)与MySQL数据库进行通信。 所以实际上我没有很多安全知识,我想知道如何将数据安全地从应用程序传输到服务器。是通过POST将数据发送到PHP脚本吗?我使用md5-hash来保存数据库中的密码。
如何确保数据是从具有有效帐户的手机发送的?
感谢您的帮助。
答案 0 :(得分:2)
"我使用md5-hash在数据库中保存密码。"
这很糟糕。使用password_hash()
和password_verify()
代替MD5。
"我想知道如何将数据安全地从应用程序传输到服务器。"
通过HTTPS而非HTTP服务。如果您特别偏执,请提供证书。
" [H]要确保数据是从具有有效帐户的手机发送的?"
没有办法绝对肯定。客户可以而且会撒谎。攻击者可以欺骗用户代理并击败你可以设计的任何指纹识别方法。