我正在开发一个使用与网站相同的 MySQL 服务器的 Android 应用程序。
我想在我的应用程序中连接到数据库,我之前通过在服务器上放置一些 PHP 文件并使用 HTTP 发布并以 json 格式检索响应来完成此操作。我不知道为什么——我不是专家——但这对我来说似乎不是一个非常安全的方法。
使用 SOAP 或 REST 网络服务对我来说看起来更安全,但我不知道如何将它们部署在服务器上(服务器不是我的,我不想玩弄太多)。
那么对我来说最安全的方法是什么?
如果我使用 PHP 脚本,我应该将数据库凭据存储在 PHP 脚本中还是我的应用程序中并将它们传递给 PHP 脚本?这些最安全的是什么?
谢谢
您选择的“信封技术”对安全性没有影响。在安全架构方面,普通的 php 页面、类似 REST 的架构和 SOAP 服务都是相同的——您仍然通过相同的通道发送和接收完全相同的信息。它只是以不同的方式包裹起来。没有提供额外的保护。
至于您的凭据,最好将它们存储在位于 Web 服务器文档根目录之外的文件中 - 如果单独的漏洞允许您的网站文件被枚举或读取,这会限制您的暴露。您的 PHP 程序可以require_once使用凭证文件。
如果用户可以存储特定于他们的信息,您将需要使用身份验证和授权来确保一个用户不能代表另一个用户行事。
哦,不要让 GET 请求更改您的数据。要求所有状态更改或破坏性操作只能通过 POST 请求执行。这将限制预缓存请求或重放请求的用户代理/代理以及浏览您网站的用户/搜索机器人对您的数据造成损害的风险。