我很想知道在为我的网站构建服务时允许Web开发人员使用PHP是否是可接受的。如果这是简化且过于安全的话,这样做是否安全?
以下是一个例子:
有人构建了一个Web应用程序,而需要访问该网站的用户(存储在MySQL数据库表中)。如何获得MySQL表结果?好吧,他可以使用PHP(或AJAX)来获取变量。如果你为他设置了一些简化的课程,过度安全的课程,他应该能够毫不费力地获得这些变量。
现在,我想知道的是,在我的网站上使用互联网PHP能力是否安全。我不认识这个人,也不会真正遇到他们,但他们需要为我的网站创建内容,我想确保没有安全风险。 < / p>
提前致谢。
答案 0 :(得分:1)
不建议在本机代码中允许第三方访问您的站点 - 不要写入文件,也不要写入数据库。这是一种安全风险,并且不明智。
这样的最佳解决方案是为网站编写API:
例如,他们需要访问用户列表,因此编写一个只读(密钥锁定)api,它提供了一个用户列表并且是可搜索的使用密钥锁定意味着您可以限制呼叫,记录呼叫者,呼叫者以及撤消访问权限。
例如。他们会打电话给
yoursite/api/getusers?name=john&key=mykey
并获取所有John等的列表。
这样,您的数据库保持安全,并且您的站点/服务器上无法运行外部代码。