2

我正在开发一个使用 PHP 、 AS3 和 AMFPHP 的项目。

该项目允许用户上传和下载图像等。由于我对 PHP/FLash 安全性相当陌生,因此我一直在尝试收集尽可能多的信息,以使事情尽可能安全。关于使用 .htaccess 文件和其他一些技巧,我有一些很好的建议。

我目前的主要问题是如何隐藏往返于 PHP / assets / 以及往返于 AMFPHP 服务的“路径”信息......

目前,我将所有路径硬编码在一个 .as 中,它返回一个对象,该对象具有指向需要/请求它的任何其他类的路径。我发现这种方法效果很好,因为我只需要更改这个 .AS ,它就会分支到需要它的其他类。

我不太担心其他人反编译我的代码,如果他们真的想要,他们可能会“嗅出”路径。我最关心的是允许其他人轻松访问我的所有 AMFPHP 服务,或者被允许访问我不希望他们访问的部分站点。基本上我意识到无论如何事情都不会100%安全,但想采取预防措施。

所以我的主要问题是......隐藏/隐藏 PHP-AS3 项目中使用的路径的最简单方法是什么?...如果需要,我接受了 PHP 包括甚至 SQL 数据库的可能性。我宁愿不花大量时间和金钱在有问题的混淆软件上,除非有一个用于闪存(不是 flex)的久经考验的真实(且便宜)的软件。..我目前没有 SSL,但不知道这有多重要——这很常见。--

4

2 回答 2

4

正如您所指出的,任何人都可以通过使用 Wireshark 查看发送到您网站的流量或使用 Flash 反编译器查看您的源代码并直接找到链接来找到您的路径。

我认为尝试隐藏您的路径听起来不值得麻烦,因为它只会增加一点点晦涩难懂。任何有兴趣的人都可以用相对较少的精力来解决这个问题,但普通人对于如何对您的一项服务进行 AMF 调用一无所知。相反,我会专注于使您的 AMFPHP 函数本身尽可能安全。

于 2010-02-14T04:53:14.953 回答
1

您可以使用 mod_rewrite 文件(使用 Apache)来删除或更改页面的文件扩展名。

RewriteEngine on
RewriteRule ^bob.php$ bob.html

有关更多示例,请参见http://www.workingwith.me.uk/articles/scripting/mod_rewrite

这不会改变闪存中硬编码的链接,但会使它们对用户不那么明显。

如果您使用的是 Windows,那么您可以使用 OBFU 来混淆您的闪存代码。它很昂贵,但非常安全。有一些开源替代方案,但不安全。

http://tech.motion-twin.com/obfu.html

但 Code Duck 所说的是正确的,因为没有办法完全保护它。

于 2010-02-14T05:54:05.110 回答