嘿。對於Web編程領域的新手來說,他們學習了一堆相當簡單的新技術,試圖將它們拼湊在一起。因此,我們有一個簡單的客戶端(目前iPhone,即將轉移到J2ME),它通過PHP與MySQL數據庫交談來拉下數據列表。我有一個基本的用戶/登錄系統,因此數據只能提供給與網站或客戶端上已知用戶等相匹配的人。從手機到網站的客戶端/服務器安全
網站上查詢數據庫的所有php腳本檢查以確保活動會話已到位,否則將用戶轉儲回登錄屏幕。
我讀了一點關於SSL,想知道是否足以保護網站和數據在服務器和客戶端之間傳遞?
HTTPS關於保護數據和驗證端點。您仍然需要擔心正確認證客戶端以訪問您的服務。您還必須擔心影響PHP的漏洞,例如SQL Injection和other vulnerabilities。我強烈建議閱讀OWASP 2010年前10名A3: Broken Authentication and Session Management以確保您的會話實施是安全的。
是的,SSL已足以保護客戶端和服務器之間的連接,因爲它已正確設置。
您的用戶憑證還應該通過SSL連接從客戶端發送到服務器。
他希望保護數據,因此整個會話必須由SSL/TLS覆蓋,而不僅僅是登錄。 – 2010-05-05 23:42:41
同意;關於登錄的全部事情只是提醒他,如果他使用SSL,他應該記住還要通過SSL傳遞信用信息(這是驗證後啓動SSL會話的常見錯誤,並且人們通過明文傳遞信用) – Alan 2010-05-06 17:53:51
謝謝。這正是我關心的問題;對這些技術知之甚少,我想確保涵蓋所有角度。我已經閱讀了足夠多關於SQL Injecttion等的內容,非常擔心。 我會做更多的閱讀,特別是關於「驗證客戶端」。 – 2010-05-05 23:16:33
這可能是一個愚蠢的問題,但期望能夠實現「足夠好」的安全性,同時對於整個遊戲來說相對較新是否合理?新的,我會說幾個月的MySQL和PHP的工作。 – 2010-05-06 15:38:37
@Amir Latif可能不會,我會試着找到一個圖書館或框架來幫助。例如,如果您從Joomla等CMS構建您的應用程序,您將爲您編寫所有這些內容。一個CMS很容易定製,你可以建立插件來做你想做的任何事情。 – rook 2010-05-06 17:44:16