使用 ajax 发布到 php 文件 - 安全性

【问题标题】:using ajax to post to php file - security使用 ajax 发布到 php 文件 - 安全性
【发布时间】:2012-06-05 16:03:13
【问题描述】:

我正在使用 phonegap 开发 iOS 应用程序。 用户首先必须注册或登录。(ajax:发布到我的网络服务器上的 php 文件,比如这里:PHP AJAX login, is this method secure?)。

信息需要发送到mySQL数据库,用户可以上传图片,...

现在我想知道是否有办法阻止其他人发布到我的 php 文件。

在我看来,制作一些脚本来添加数千个虚假帐户,或者上传数千张图片是很简单的。

我读到:POST method, Ajax and Security?,但我似乎没有找到在 phonegap 应用中实现此功能的方法。

如何确保我是唯一可以使用这些 php 文件的人?

【问题讨论】:

    标签: php mysql ajax security cordova


    【解决方案1】:

    保存您的 PHP 会话 cookie 并在您的应用程序中使用普通会话进行身份验证。这样,您只需验证自己一次。

    【讨论】:

    • 我正在这样做。有一个奇怪的问题,firefox 不接受从本地文件到网络服务器的 ajax 发布。 Safari 和 phonegap 确实允许这样做(可能与跨域发布有关)。看来 phonegap 可以正确处理我的会话。我将使用 ajax 对会话安全性进行更多研究。
    【解决方案2】:

    您可以将身份验证令牌添加到您的 ajax 请求的标头中,并在您的 php.ini 文件中进行检查。例如

      $.ajax({
        url: "https://your.url.com/page",
        headers: { 
            "Auth-Token": "auth_key2134"
        }
    });

    【讨论】:

    • 我没试过这个,但我想你可以在 myApp.ipa 中找到 html-source。那么复制 auth-token 不是很容易吗?
    • 反编译 ipa 是“可能的”:hints.macworld.com/article.php?story=20090216234229963 如果这是一个真正的问题,另一个选择是让用户在应用程序启动时创建一个帐户并传递用户名和密码参数为您服务。
    猜你喜欢
    • 1970-01-01
    • 2012-01-22
    • 1970-01-01
    • 2023-03-30
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode