套接字服务器不处理来自用户的任何登录或任何输入,它只是在mysql数据库可用时向用户提供信息。在没有使用socket.io之前我还不知道在使用它时我应该注意什么。例如,有人可以访问.js"服务器的内容"?因为我的包含一些敏感数据,如sql凭证。
答案 0 :(得分:1)
socket.io与任何Web服务器和Web请求几乎都有相同的安全问题。如果您没有做任何愚蠢的事情来暴露您的服务器端文件,通常就无法访问它们。我们必须查看您的实际服务器端代码,以了解您是否意外暴露了任何内容。保护您的服务器和SQL数据库的主要方面是您必须验证所有传入的参数,以确保您不会发送任何可能导致您的代码意外执行非预期操作的内容。 / p>
并且,有一件大事要确保您通过SQL查询避免它以确保发送给您的任何内容都不会直接放入SQL查询中,因为这会将您暴露给攻击者发送的SQL注入攻击您不希望将参数添加到SQL查询中,最终允许它们在SQL服务器上运行自己的SQL。如果您想了解更多信息,可以使用written about SQL Injection in other articles。
由于您说您不处理任何登录,因此您可能知道您可以获得任意数量的socket.io连接,并且几乎任何人都可以连接(无论是来自浏览器还是来自其他一些自定义的剂)。