我有将一些 JSON 数据写入 mySecretData.json 文件的 PHP 脚本。此脚本通过 CRON 每 10 分钟定期运行一次。我正在通过 AJAX 从我的网站和 Windows 10 应用程序访问此 JSON 文件。将来我可能打算出售我的秘密文件的内容。我怎样才能保护这个文件在未经我许可的情况下被阅读?
此时,任何人都可以浏览我网站的源代码以获取该网站从中读取机密数据的 URL。试图出售这些内容是毫无用处的。我的 JSON 文件只包含几行数据,所以我不想使用数据库。
如何保护我的文件?非常感谢!
【问题讨论】:
标签: javascript php ajax security server
详细说明我的评论
file structure
/
/secret
/secret.json
/public_html //<--webroot
/getJson.php
//getJson.php
//complicated auth logic goes here
if(isset($_GET['authtoken'] && $_GET['authtoken']=='im_ok_guv_honest'){
header('Content-Type: application/json');
readfile('../secret/secret.json');
die();
}
die('not authorized');
【讨论】:
getJson.php?authtoken=im_ok_guv_honest)。显然,您的实际身份验证逻辑会更复杂,但这超出了问题的范围。
您应该将其从您的网络文件夹中移开,并在检查数据库的某些凭据后让脚本流式传输它。
您可以添加一些 IP 验证以防止多个人使用相同的凭据
【讨论】: