嘿。我是网络编程世界的新手,学习了一堆相当简单的新技术,试图将它们拼凑在一起。
因此,我们有一个简单的客户端(目前是iPhone,很快转移到J2ME),它通过PHP下拉数据列表,这是与MySQL数据库的对话。我有一个基本的用户/登录系统,因此数据仅提供给与网站或客户端上的已知用户等匹配的人。
网站上查询数据库的所有php脚本检查以确保活动会话到位,否则将用户转储回登录屏幕。
我已经阅读了一些关于SSL的内容,并想知道这是否足以保护网站以及服务器和客户端之间传递的数据?
答案 0 :(得分:2)
HTTPS是关于保护数据和验证端点。您仍然需要担心正确地验证客户端以访问您的服务。您还必须担心影响PHP的SQL注入和other vulnerabilities等漏洞。我强烈建议您阅读OWASP Top 10 2010 A3: Broken Authentication and Session Management以确保您的会话实施是安全的。
答案 1 :(得分:1)
是的,SSL足以保护客户端和服务器之间的连接,因为它已正确设置。
您的用户凭据也应通过SSL连接从客户端发送到服务器。