我有一个将用户分数发送到 mysql 表的 Java 应用程序。用户完成后,Java 应用程序访问服务器上的 .php 文件,并且 .php 服务器对数据库执行查询(插入分数)。
我担心这种方法的(不)安全性。我的意思是,如果有人在服务器上找到指向 .php 的直接 url,他们会在数据库中产生很多混乱。您能否建议我如何防止 .php 执行除 Java 应用程序访问之外的查询?
编辑:问题是Java应用程序不在服务器上运行,它是在使用Java Web Launcher平台的用户计算机上运行的。所以它不是小程序...
问题是概念性的。您永远不应该确定用户无法找到真实地址(通过默默无闻来确保安全)。您可以使用 SSL,但这仍然不能很好地猜测。
由于 Java 程序在客户端运行,因此 .htaccess 限制对某个 IP 的访问也不是一种选择。
我的建议是在 mysql 中创建一个单独的用户,仅授予该用户对必要表的访问权限,并直接在 Java 中代表该用户执行数据库查询。通过这种方式,所有数据都被加密(参见http://dev.mysql.com/doc/refman/5.5/en/ssl-connections.html)并且不会暴露 URL/访问点。当然,这意味着您的 MySQL 服务器必须可以从外部访问,这也存在风险。你应该有一个好的root密码!