0
我已經創建了一個桌面應用程序,用戶可以從他們自己的機器上下載並運行。此應用程序需要網絡訪問權限,並且經常會將更改發送到更新,插入等數據庫(託管在我的服務器上)。如何安全地允許我的用戶連接到我的數據庫?
直接在應用程序中保留密碼是不好的,因爲如果應用程序反編譯,那麼用戶可以查看數據庫的憑據並自行獲得完全訪問權限。
在服務器端使用GET和POST以及API執行此操作是唯一安全的方法嗎?還有其他選擇嗎?
A
回答
1
所以這裏有兩個問題:1)認證用戶發佈POST更新到你的服務器端PHP /數據庫(他們是他們說的人)和2)防止暴露數據庫憑證。
1)您是否使用LDAP等第三方集成服務器驗證用戶身份?
2)服務器憑證不應該存儲在應用程序中,因爲它們在那裏是不需要的。一旦您驗證了用戶及其請求,您的服務器端PHP應具有一個安全功能,該功能可以解密數據庫憑證並根據用戶提交的信息發出SQL語句。
所以要回答你的問題,是的,最好的做法是託管一個服務器端框架來處理傳入的請求,這些請求會對用戶進行身份驗證,然後執行他們的請求。
我想如果你希望桌面應用能夠直接更新數據庫(不推薦),你可以存儲數據庫憑證的加密散列,並使用解密算法解密,然後將它們發送到數據庫。
<?php
if(isset($_POST['query'])) {
$query = $_POST['query'];
$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'my_db');
//Execute SQL
if($mysqli->query($query) === TRUE) {
$mysqli->close();
echo "successful";
} else { echo "SQL execution error"; }
} else {
echo "invalid query string";
}
?>
1
爲什麼不建立一個代理web服務? 您的客戶端應用程序發送請求,您的Web服務抓住它們並在您的數據庫上安全地執行它們。
+0
這就是我所認爲的正確的做法。如果有另一種方式來處理它而不暴露信息,我大多很好奇。 – sdasdadas
相關問題
- 1. 安全地允許用戶將HTML保存到數據庫?
- 2. 一個允許用戶直接連接到數據庫的API
- 3. 允許安全的表單數據發佈到我的rails api
- 4. 我將如何去通過Java安全地連接到數據庫?
- 5. 如何允許從我的EC2實例連接到我的ELB
- 6. 允許用戶遠程連接到MySQL數據庫
- 7. 如何安全地連接到我的MongoDB replicaset?
- 8. 如何安全地將SQL數據庫連接到外部客戶端?
- 9. 如何允許遠程連接到我的.net應用程序?
- 10. 安全地連接到c#中的mySQL數據庫#
- 11. Firebase允許android應用程序連接到您的數據庫
- 12. 使用C#安全地連接到AWS MySQL數據庫
- 13. 允許從任何地方連接數據庫?
- 14. MySql數據庫允許遠程連接
- 15. 如何安全地允許SQL注入
- 16. 我無法連接到我的本地SQL Server數據庫
- 17. 是否允許客戶端直接連接到rabbitmq並使用隊列安全?
- 18. 我想用彈簧安全處理數據庫連接異常
- 19. 如何使用SQLalchemy安全連接到MySQL數據庫?
- 20. 我安裝SSIS 2012後如何連接到數據庫?
- 21. 數據庫連接的安全
- 22. Android:與數據庫的安全連接
- 23. 我如何允許用戶切換SSRS報告的數據源?
- 24. 如何使用PHP安全地連接到內部網絡SQLSRV數據庫?
- 25. 如何安全地將Backbone.js應用程序連接到數據庫?
- 26. C:我如何製作允許鏈接到外部庫的makefile?
- 27. 我如何安排我使用組連接的數據輸出?
- 28. 無法用我創建的用戶連接到本地Postgresql數據庫
- 29. 連接到我的sql數據庫
- 30. 家園 - 連接到我的數據庫
身份驗證是一個單獨的問題(因爲我發出請求並不重要),但是,是的,#2是我所瞭解的。 儘管存儲散列,但除非將解密算法存儲在服務器上,否則它仍然不安全。 – sdasdadas
這是真的......如果PHP安裝在您的服務器上,它可能就像一個PHP頁面一樣簡單,該頁面接收在桌面應用程序中構造的_POST ['query']字符串,並使用存儲在服務器上的數據庫憑據執行它側。 – jamis0n
用最簡單的PHP頁面更新答案:) – jamis0n