我寫,我想發送Ajax請求並註冊用戶 一些參數爲前一個PhoneGap的應用程序中最安全的方法:full name
,email
,password
。什麼是從我的PhoneGap的應用程序,用戶註冊到我的DB
什麼是最安全的方式來建立我的PHP腳本,以防止其他用戶從 淹沒我的DB與註冊請求?
我寫,我想發送Ajax請求並註冊用戶 一些參數爲前一個PhoneGap的應用程序中最安全的方法:full name
,email
,password
。什麼是從我的PhoneGap的應用程序,用戶註冊到我的DB
什麼是最安全的方式來建立我的PHP腳本,以防止其他用戶從 淹沒我的DB與註冊請求?
有一些標準方法:
$_SERVER['HTTP_REFERER']
檢查推薦URL。如果您的註冊頁面不在您的主頁上,請將其設置爲使其必須來自您網站上的某個位置。其中一種方法是在您的Java文件中嵌入SECRET_KEY,並在您使用註冊表單進行ajax調用之前通過插件訪問它。將SECRET_KEY連同用戶註冊信息一起發送,以驗證您的應用只能進行通話。忽略不包含SECRET_KEY的任何內容。
在您的Java文件中嵌入SECRET_KEY是一個建議,因爲.apk文件可以很容易地「解壓縮」來查看源文件(/ www文件夾)而不是Java文件。
「負載平衡」來處理大量的請求到您的服務器API將是一個不錯的選擇。如果您正在運行IIS,則應該有一些可以插入的模塊以有效利用傳入的請求。
我用手機包裝我的html5,所以我需要使用JS。無論如何,如果有人會擁有那個「祕密鑰匙」,他也可以註冊。 是不是很容易嗅探「祕密」密鑰?因爲它只有一個簡單的post/get請求。 – DanR
這是一個額外的保護層。使用DES/AES來加密您的私鑰。或者在提交用戶註冊信息之前進行額外的服務器握手呼叫。 –
可以反編譯APK文件並從中獲取java類。就像任何反編譯的代碼一樣,它不是最容易閱讀的,但它與您的「祕密」密鑰一起存在。 DES在一段時間內一直相當不安全。 –