Web tarayıcısı ile olmaktan erişim bir iPhone app kullanılan PHP betikleri Önlenmesi

4 Cevap php

Ben başka bir thread üzerine yöneltilen bir soru üzerine biraz daha fazla bilgi almak için çalışıyorum

Temelde, bir sunucudan gelen değerleri döndüren bir php komut dosyası parametreleri geçirmek için bu yöntemi kullanıyorum:

NSString *urlstr = [[NSString alloc] initWithFormat:@"http://www.yourserver.com/yourphp.php?param=%d", paramVal];
NSURL *url = [[NSURL alloc] initWithString:urlstr];
NSString *ans = [NSString stringWithContentsOfURL:url];
// here in ans you'll have what the PHP side returned. Do whatever you want
[urlstr release];
[url release];

Ben o soruyu. Nasıl 'http://www.yourserver.com/yourphp.php' güvenli mi? Kolayca (sen yolunu biliyorsanız) aynı komut dosyasına gidin ve istediğiniz herhangi bir parametre iletebilirsiniz. Ben bir şey eksik?

4 Cevap

$_SERVER['HTTP_USER_AGENT'];

Eğer kullanıcı ajan Erişimciler, fakat kullanıcı arayüzleri kesinlikle parodi-mümkün gösterecektir, diğer tek seçenek bunu geçti asla biliyorum bazı karakterler için kontrol ederek param kilitlemek olacaktır, belki de başka bir (kukla) PERAM eklemek sadece Küçük bir ilave güvenlik için. Bunun dışında orada gerçekten aşağı sabitlemek için başka bir yolu yoktur.

Sen birlikte göndermek için giden veri MAC kullanabilirsiniz.

Bu, (bu konuda ve oturumları) tam bir darbe Auth çerçevesini kullanarak önler.

Bu bir tekrar saldırıya ancak savunmasız, ama kesinlikle ileti uygulamadan kaynaklandığı doğrulayacaktır.

http://en.wikipedia.org/wiki/Message_authentication_code

Hayır, hiçbir şey eksik değil. Eh, bir auth çerçeve dışında. :)

PHP bir web uygulaması güvenliğini sağlamak için iyi bir platform değil, ancak kullanabilirsiniz Pear's Auth library.

PHP tarafında girişinizi doğrulamak; Herhangi bir giriş geçerli ise, o zaman bir parola oluşturmak ve herhangi bir işlem yapmadan önce karşı valide edilecek parametre ile birlikte bu geçmektedir.

Onlar şifre ideal uygulama oluşturur (yani kayıtlı değil) ve sunucu önceden bilen bazı verilerle tuzlu sunucudan bir seferlik dayalı, mümkün olduğunca geçici olmalıdır.

etiketler