безопасность базы данных с php-страницей, которая выплевывает XML

Question

Я только что создал страницу PHP, которая выплевывает некоторые данные из моей базы данных в формате XML. Эти данные получены из приложения Flex, которое я сделал.

Я потратил много времени на форматирование своих таблиц и информации в базе данных и не хочу, чтобы кто-нибудь мог просто набрать www.mysite.com/page_that_spits_out_XML.php и украсть мои данные. Однако в то же время мне нужно иметь доступ к этой странице из моего приложения Flex.

Есть ли способ, которым я могу помешать другим людям делать это? Спасибо!

Answer 1

Вам необходимо настроить аутентификацию. Приложение Flex отправляет данные HTTP POST (обычно это имя пользователя и пароль) на сервер, где ваше приложение PHP проверяет, существует ли учетная запись и, если оно существует, оно устанавливает сеанс. При каждом обращении к файлу (например, page_that_outputs_xml.php) файл PHP проверяет, есть ли у учетной записи в сеансе разрешение на просмотр этих данных.

Это было бы так же пуленепробиваемо, как и большинство современных систем входа в систему.

Answer 2

Заставьте ваше приложение flex отправлять секретный ключ (хэш или что-то в этом роде), а затем заставьте ваш PHP проверить, имеет ли кто-то доступ к нему правильный ключ.Возможно, вы захотите использовать запрос POST, чтобы скрыть то, что вы отправляете.Это не супер безопасно, но это мои два цента!

Answer 3

Единственное, что действительно замедляет работу хранилища данных, - это шифрование, убедитесь, что ваше гибкое приложение запутано и что ключ и функция шифрования, хранящиеся в нем, не являются ни предполагаемыми, ни легко извлекаемыми.

Это лучшее, что вы можете сделать, но я бы не рекомендовал такое решение. Если кому-то ДЕЙСТВИТЕЛЬНО нужны эти данные, они получат его.

Answer 4

Используете ли вы объект HTTPService Flex?

Несколько общих идей ...

• Создайте схему аутентификации Session или Cookie в вашем веб-сервисе

• Добавьте некоторый тип API-ключа, который Flex передает в ваш XML-веб-сервис, который обеспечит базовую защиту (хотя его легко обнаружить и не так много с точки зрения безопасности, как это видно в постданных). ).

• Используйте что-то вроде базовой аутентификации HTTP: http://geekzguru.wordpress.com/2008/07/04/howto-add-basic-authentication-header-to-httpservice/