Android - 在DB调用时维护数据库用户名和密码的更好方法

时间:2016-07-22 19:18:17

标签: php android mysql parameters parameter-passing

我是Android的新手。我正在开发和Android app,其中包含一些database次来电。我将DB_USERNAMEDB_PASSWORD作为POST请求中的参数发送给PHP,然后使用MYSQL Database connection获取PHP

Database User NamePassword作为参数传递是否合适?

我们应该在Database中提供User Name PasswordPHP吗?

提前致谢。

1 个答案:

答案 0 :(得分:0)

通过提出这样的问题,我强烈建议您先阅读网络安全的基础知识! :)

通过网络向您的服务器发送凭据,以便它访问数据库是绝对禁止的。

  • 您的网络服务器将凭据存储在无法通过网络访问的单独文件中。您可以通过将凭证文件放在Web服务器的文档根目录之外来实现。
  • 此外:您的DB-Server应该只接受来自可信IP的通信。如果您的Web应用程序实例和数据库实例位于同一服务器上,则只接受来自localhost。

您可能希望对appre客户端进行身份验证,以限制数据库调用的可访问性。通常,您发送客户端s credential一次,服务器验证并使用auth-token进行响应。对于任何进一步的通信,使用令牌,该令牌在定义的时间段之后无效。 (基于令牌的认证)

这个想法是尽量减少凭证的暴露时间范围。即使您使用SSL加密。

祝你好运 汉纳斯