-1

可能重复:
HTTP 身份验证的类型以及如何设计安全数据库?

我有一个与我的服务器交换 XML 数据的 iphone 应用程序。

用户第一次运行应用程序时,应用程序连接到一个 URL 并请求一个用户 ID。

我对这件事使用了 HTTP 基本身份验证,但是通过一个简单的 Web 调试器(嗅探器),我能够看到发送/接收到我的服务器的所有 XML 表单以及发出用户 ID 的 url。

那么我能做些什么来隐藏所有这些数据并且在调试器中不那么可见呢?有些人建议使用 https(http over ssl),但我看到数以百万计的站点/应用程序使用 http 来处理这些事情。我在这里错过了什么吗?我该怎么做才能拥有这种安全性?

我想要的只是避免有人编写脚本并用垃圾淹没我的数据库,因为所有内容(URLS,XML 文件的形式)都是可见的。

4

1 回答 1

5

HTTPS 是您想要使用的。如果您不使用 HTTPS,那么您很容易受到攻击。

仅仅因为数以百万计的网站不安全并不意味着您希望自己的网站不安全。网站最初使用 HTTPS,然后从那里使用 HTTP 也很常见。不过,如果您真的想受到保护,请再次使用 HTTPS。

最后,HTTPS 不会保护您免受有人用垃圾淹没您的数据库。为此,您需要良好的身份验证,并限制某人可以从特定帐户执行的操作。

于 2013-01-21T01:09:57.263 回答