我对 Android 安全有一个特定的问题。
首先,我将描述我的问题:我想通过 PHP 连接到数据库。但是每个人都可以从我用来连接 PHP 文件的 apk 中提取链接。这导致了问题:每个人都可以通过调用此链接来操作我的数据库。我想防止 SQL 注入。
我正在寻找解决这个问题的方法。我的第一个想法,也可能是最简单的想法,是创建一个完全私有的字符串,用于对 PHP 文件的访问进行身份验证。但我不知道,我如何保存这样的字符串而不会有从代码中提取的风险(例如,使用 Strings.xml,或者只是将它写在我的代码中)。有没有一种简单的方法可以在我的 APK 中使字符串完全私有(这样没有人可以提取它)?或者有人有更好的解决方案吗?
对您的应用程序进行逆向工程并找出“秘密”网址并没有真正的安全措施。
我建议您使用某种用户身份验证来保护该 URL。无论哪个客户端尝试访问它,都应该保护 url。
可以检索/欺骗/等存储在客户端中的所有内容。在对数据库运行命令之前,您需要让客户端对服务器进行身份验证。
您需要保护您的数据库免受未经授权的访问。现在听起来你只是通过隐藏 URL 来使用“通过默默无闻的安全性”。这是不好的做法。有人找到你不想找到的人只是时间问题。它甚至不需要逆向工程,只需看一下路由器日志。
此外,SQL 注入是指有人将恶意代码注入到 SQL 查询中,该查询是由未正确清理它的代码制作的。此攻击在经过身份验证的会话内起作用。这也是您需要注意的事情,但这不是您在问题中描述的风险。