код доступа для скрипта PHP между PHP и iPad

Question

Я пишу скрипт PHP, который отвечает на запросы GET с iPad, а затем делает соответствующий запрос к базе данных, возвращая JSON.например:

http://mydomain.com/index.php?param1=xxx&key=afdS31PsR

Является ли это (ключ = xxxxxxxxx) безопасным способом запретить людям доступ к моей базе данных?Я чувствую, что так будет, за исключением того, что это будет жестко закодировано в сценарии, поэтому оно никогда не изменится.

Лучше было бы хешировать значение ключа и сравнивать с хешем в базе данных ключевого слова.Но даже если iPad не отправит ключ и запрос через HTTPS, он все еще кажется небезопасным.Есть идеи как это сделать?Возможно, есть хороший способ настроить шифрование с открытым / закрытым ключом с помощью PHP-скрипта?Я очень неопытен в криптографии и аутентификации, так что терпите меня.

Answer 1

Для действительно технически подкованного пользователя нет способа отправить ключ (незашифрованный), который действительно безопасен.

Однако отправка его в виде запроса GET, как правило, плохая идея,а жесткое кодирование значения - еще худшая идея.

Вам определенно следует создать базу данных хешей для каждого пользователя и сравнить хешированный ключ с хешем, хранящимся в базе данных.Если вы должны использовать GET, то пусть так и будет, но POST будет подходить для аутентификации.

Если вы не используете HTTPS, то вы действительно в милостио том, кто бы ни отслеживал данные по беспроводной связи, независимо от того, каким образом вы это делаете, но, по крайней мере, POST будет держать их в секрете от людей, просматривающих URL.