Heim >Backend-Entwicklung >PHP-Tutorial >用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

WBOY
WBOYOriginal
2016-06-06 20:51:25990Durchsuche

具体来说,现在用的是iPhone进行连接,但这不重要

我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了

系统无用户登录

新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢

回复内容:

具体来说,现在用的是iPhone进行连接,但这不重要

我的问题是,如果不做安全相关处理的话,一些可能改变数据库的操作可能会遭遇垃圾数据提交什么的,毕竟要找到这些信息只要找个http包就可以了

系统无用户登录

新手问题(从来没做过服务端开发),如果可以,给几个主流方法的链接,多谢

这个必须要做,隐藏在app里的接口如果没有认证,现在hack app的人这么多,很快就会被人发现,用来直接操作数据库。

直观总结方法二:

1.请求头里带用户username和password,到服务器端做验证,通过才继续下边业务逻辑。
有点:防止了服务器端api被随意调用。
缺点:每次都交互用户名和密码,交互量大,且密码明文传输不安全。

2.第一次请求,要求username和password,验证通过,种cookie到客户端,app保存cookie值。
每次请求带上cookie。
点评:和pc上浏览器认证的原理一样了。

以上两点,只有注册用户,才能有权访问业务逻辑,而app有大量的不需要注册数据api

3.制定一个token生成规则,按某些服务器端和客户端都拥有的共同属性生成一个随机串,客户端生成这个串,服务器收到请求也校验这个串。
缺点:随机串生成规则要保密。
比如:一个使用php框架的工程,框架每次交互都会有 module和action两个参数做路由,这样的话,我就可以用下边这个规则来生成token

app要请求用户列表,api是“index.php?module=user&action=list”
app生成token = md5sum ('user'.'2012-11-28'.'#$@%!'.list) = 880fed4ca2aabd20ae9a5dd774711de2;
实际发起请求为 “index.php?module=user&action=list&token=880fed4ca2aabd20ae9a5dd774711de2”

服务器端接到请求用同样方法计算token,

<code><?php $module = $_GET['module'];
$action = $_GET['action'];
$token = md5sum($module.date('Y-m-d',time()).'#$@%!*'.$action);
if($token != $_GET['token']){
    alarm('access deny');
    exit();
}
?>
</code>

先提这三个,都在项目中用过。

垃圾数据的提交,永远没法完全屏蔽。可以想办法提高上传垃圾数据的难度。

参照防御CSRF攻击的方法,在用户提交数据前要请求一个token(比如一个随机字符串+时间戳的md5值),然后用户提交数据的时候要同时提交这个token,并且进行验证,验证成功才能写入数据库。

Stellungnahme:
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Vorheriger Artikel:Nginx Rewrite 配置Nächster Artikel:关于PHPExcel