امنیت api php [بایگانی] - برنامه نویس

shahab.gh.3790

شنبه 10 شهریور 1397, 15:00 عصر

سلام دوستان برایه دریافت اطلاعات از سرور و نشون دادنش تو اندروید یک api نوشتم که از امنیتش شک دارم لطفا راهنمایی کنید 148794

charcharkh

شنبه 10 شهریور 1397, 18:19 عصر

سلام پیشنهاد میدم از pdo استفاده کنید و از named placeholder خیلی بهتر هست البته باری امنیت کارهای دیگری هم هست حالا نمیدونم این api شما چه تمهیداتی رو نیاز داره مثل authorisation کاربر که هر کسی نتونه به اطلاعات دسترسی داشته باشه و شاید هم مسایل دیگر که بایست ببینیم منطق برنامه چی هست .

MiladWorkShop

شنبه 10 شهریور 1397, 18:58 عصر

سلام و احترام

برای وب سرویس سمت سرور صرفاً همین کد رو استفاده میکنید ؟

اگه صرفاً همین کد باشه زیاد جالب نیست

قبل از هر چیز بهتره که یک کلید تعریف کنید, که از سمت اپلیکیشن شما سمت وب سرویس ارسال بشه تا سرور بتونه صحت اعتبار درخواست کننده رو برسی کنه

دوم اینکه یک روش کدگذاری اختصاصی ایجاد کنید که کلیه دیتاها به صورت کد و رمزنگاری شده رد و بدل بشه و اگه شخصی تونست آدرس وب سرویس رو پیدا کنه و دیتا سمتش ارسال کنه, پاسخ رو به صورت کدهای نامفهوم دریافت کنه, که این پاسخ صرفاً با استفاده از کلید و الگوریتم رمزنگاری شما قابل دیکد کردن باشه

همچنین با توجه به اینکه خروجی JSon هست, اون بخش whil که نوشتید فقط عمل کرد وب سرویس رو کندتر میکنه, به جای اون از mysqli_fetch_all استفاده کنید که خروجی به صورت آرایه باشه و بخش while رو کلاً حذف کنید, یعنی از خطی که نوشته شده

$cards=array();

تا قبل از خط echo رو حذف کنید و خط زیر رو جایگزین کنید :

$cards = mysqli_fetch_all($result,MYSQLI_ASSOC);