我正在构建一个示例服务器,以便我可以学习 PHP,并且想知道这是否是保护我的数据库的好方法。本质上我正在发送我自己的 API 密钥。这是否做任何有用的事情,或者这是否很容易克服。
如果这很可怕,那么解决这个问题的标准方法是什么?
下面是PHP文件
<?php
//Check if insert function exists
$apiKey = "6dM7V0n5GqYJLTMibQDf2gA2a94h8hbF";
if(function_exists($_GET['insert']) && ($_GET['key'])==$apiKey) {
$id = $_GET['id'];
$first=$_GET['first'];
$last = $_GET['last'];
//If found, call the function inser with value as a parameter
$_GET['insert']($id,$first,$last);
}
?>
网络请求看起来像(来自 iOS 应用程序);
NSURL*url=[NSURL URLWithString:@"http://localhost/Tutorials/index.php?insert=insert&id=9000&first=YOOOO&last=LOOOO&key=6dM7V0n5GqYJLTMibQDf2gA2a94h8hbF"];
//URL request
NSURLRequest*request=[NSURLRequest requestWithURL:url];
//Set the connection
connection = [NSURLConnection connectionWithRequest:request delegate:self];
if (connection) {
webData=[[NSMutableData alloc]init];
}
为了证明它是多么不安全,我可以请求此页面:
http://example.com/yourpage.php?insert=exec&id=rm+-rf+%2F&key=6dM7V0n5GqYJLTMibQDf2gA2a94h8hbF
除非某些配置阻止它,否则这将擦除您服务器的驱动器,只要 PHP 可以访问它(这可能是您的整个网站)
相反,您应该创建一个有效函数的列表,并通过 ID 引用它们。将函数存储在数组中,并获取 GET 参数指向的索引。
是的,这不安全,您可以强制客户端进入 HTTPS 连接,或者使用某种双向加密,因为这种方式非常不安全。
看这里:
http://tinsology.net/2009/06/creating-a-secure-login-system-the-right-way/