从手机到网站的客户端/服务器安全答案

【问题标题】：Client / Server security from mobile to website从手机到网站的客户端/服务器安全
【发布时间】：2011-02-16 01:25:19
【问题描述】：

嘿。刚接触网络编程世界，学习了一堆相当简单的新技术，试图将它们拼凑在一起。

所以，我们有一个简单的客户端（目前是 iPhone，很快就会迁移到 J2ME），它通过 PHP 拉取数据列表，它与 MySQL 数据库通信。我有一个基本的用户/登录系统，因此数据仅提供给与网站或客户端上的已知用户等匹配的人。

网站上所有查询数据库的 php 脚本都会检查以确保活动会话到位，否则会将用户转回到登录屏幕。

我已经阅读了一些关于 SSL 的内容，想知道这是否足以保护网站以及服务器和客户端之间传递的数据？

【问题讨论】：

【解决方案1】：

HTTPS 是关于保护数据和验证端点的。您仍然需要担心正确验证客户端以访问您的服务。您还必须担心影响 PHP 的 SQL 注入和other vulnerabilities 等漏洞。我强烈推荐阅读 OWASP Top 10 2010 A3: Broken Authentication and Session Management 以确保您的会话实现是安全的。

【讨论】：

谢谢。这正是我所关心的；对所有这些技术知之甚少，我想确保我已经涵盖了所有的角度。我已经阅读了足够多的关于 SQL 注入等的内容，非常担心。我会做更多的阅读，特别是关于“验证客户端”的内容。
这可能是一个愚蠢的问题，但期望能够实现“足够好”的安全性同时对整个游戏来说相对较新是否合理？作为新人，我会说使用 MySQL 和 PHP 工作了几个月。
@Amir Latif 可能不会，我会尝试寻找一个有帮助的库或框架。例如，如果您从 Joomla 之类的 CMS 构建您的应用程序，您就会为您编写所有这些内容。 CMS 易于定制，您可以构建插件来做任何您想做的事情。
呃。这显然不是我想听到的。我也不太热衷于使用 Joomla 重写整个东西，主要是因为我不想从头开始学习大型框架。在 PHP/MySQL 中有很多资源可以用来做这个或那个。但是，如果您认为我可以使用类似的东西编写基于 db 的客户端-服务器代码，我会做更多的阅读。干杯。
@Amir Latif 您当前的应用程序可以制作成一个 joomla 插件。但是您的权利不是一个很好的解决方案。另一种选择是您可以将 Auth.php 类从该项目中拉出并使用它（code.google.com/p/michael-the-messenger），我知道它是安全的，因为我写了它:)。

【解决方案2】：

是的，只要设置正确，SSL 就足以保护客户端和服务器之间的连接。

您的用户凭据也应该通过 SSL 连接从客户端发送到服务器。

【讨论】：

他想保护数据，因此整个会话必须被 SSL/TLS 覆盖，而不仅仅是登录。
同意；关于登录的整个事情只是提醒他，如果他使用 SSL，他应该记住也通过 SSL 传递凭据（这是一个常见的错误，在身份验证之后启动 SSL 会话，人们传递凭据明确）