سلام و احترام
برای وب سرویس سمت سرور صرفاً همین کد رو استفاده میکنید ؟
اگه صرفاً همین کد باشه زیاد جالب نیست
قبل از هر چیز بهتره که یک کلید تعریف کنید, که از سمت اپلیکیشن شما سمت وب سرویس ارسال بشه تا سرور بتونه صحت اعتبار درخواست کننده رو برسی کنه
دوم اینکه یک روش کدگذاری اختصاصی ایجاد کنید که کلیه دیتاها به صورت کد و رمزنگاری شده رد و بدل بشه و اگه شخصی تونست آدرس وب سرویس رو پیدا کنه و دیتا سمتش ارسال کنه, پاسخ رو به صورت کدهای نامفهوم دریافت کنه, که این پاسخ صرفاً با استفاده از کلید و الگوریتم رمزنگاری شما قابل دیکد کردن باشه
همچنین با توجه به اینکه خروجی JSon هست, اون بخش whil که نوشتید فقط عمل کرد وب سرویس رو کندتر میکنه, به جای اون از mysqli_fetch_all استفاده کنید که خروجی به صورت آرایه باشه و بخش while رو کلاً حذف کنید, یعنی از خطی که نوشته شده
$cards=array();
تا قبل از خط echo رو حذف کنید و خط زیر رو جایگزین کنید :
$cards = mysqli_fetch_all($result,MYSQLI_ASSOC);