我目前正在寫此刻的Android應用程序,訪問我的服務器上的PHP文件,並顯示通過我的MySQL數據庫提供JSON數據。限制訪問PHP文件
一切都很正常,我喜歡它的簡單,但我不太舒服的事實,有人可能只需要輸入這個PHP文件的網址,並用一整頁的潛在敏感數據的呈現。
,你會給什麼建議我去阻止,除了那些任何人訪問此PHP文件使用我的Android應用程序?
非常感謝的任何信息。
我目前正在寫此刻的Android應用程序,訪問我的服務器上的PHP文件,並顯示通過我的MySQL數據庫提供JSON數據。限制訪問PHP文件
一切都很正常,我喜歡它的簡單,但我不太舒服的事實,有人可能只需要輸入這個PHP文件的網址,並用一整頁的潛在敏感數據的呈現。
,你會給什麼建議我去阻止,除了那些任何人訪問此PHP文件使用我的Android應用程序?
非常感謝的任何信息。
是不是真的有一個很簡單的方法來做到這一點。但是,您可以要求用戶代理與您的應用程序相匹配。您還可以在您的應用程序中隱藏作爲POST數據傳遞到您的PHP文件的私鑰。現在,這些都不會阻止那些決心獲得原始產出的人,但這會減慢那些只是在一段時間內扼殺他們能夠完成的事情的人。
如果請求與下面的頭送到爲什麼不僅能夠有效的響應:
Content-Type=application/json
如果該請求不把它作爲了Content-Type
,那麼你只終止腳本(如普通的瀏覽器通常想得到text/html
或類似的東西)。將所有東西緊密關閉並不值得,如果您的應用可以從您的服務器獲取數據,任何用戶都有機會。
好主意。感謝您的提示。 – user924014
感謝您的鏈接。這似乎值得檢查,所以我將閱讀更多關於http-auth的內容。再次感謝。 – user924014