2014-02-24 73 views
0

我正在嘗試創建一個移動應用程序,我想知道下面的安全和罰款是否可以這樣做。使用PHP GET服務器

我有一個數據庫託管在MySQL服務器上。用戶在應用程序中輸入帳戶信息。按提交後,會生成以下URL併發送到我的服務器。這會拉回一個關於該帳戶的簡單JSON返回信息,以及它是否正確。該應用程序將剩餘的JSON拉回剝離的HTML頁面。

以下是生成後的示例URL。我將應用上的密碼轉換爲SHA1,然後發送。 LoginValidation.php X =測試& I = a94a8fe5ccb19ba61c4c0873d391e987982fbbd3

這是試圖使用外部數據庫時,需要辦理賬戶完全可以接受的,也就是它的安全?

謝謝!

編輯:另外這會是較大的高科技公司特(Twitter/Facebook的)如何處理登錄/檢索信息?

+0

使用PHP cURL,但請確保您有自己的API,並使用POST將數據發佈爲json或xml。 –

回答

2

在這個問題上有幾個問題需要解決。

  1. 我會使用POST,而不是開始。 GET的存儲在日誌文件/瀏覽器歷史記錄等
  2. 只需在瀏覽器中返回普通的JSON並在此工作。
  3. 接下來我會確保你有一個「peper」(在應用密鑰),這將在創建哈希使用,並與哈希密碼一起存儲在數據庫中的「鹽」。
  4. 如果您能夠使用HTTPS與服務器進行通信。這樣你可以加密請求/響應並避免中間人攻擊。

這是一些事情的答案...可能有更多關於這件事的事情!我相信人們可以幫助添加更多評論。

1

發送密碼的哈希版本只是儘可能爲發送密碼本身的安全:您沒有看到實際的密碼,但它也可以同樣一直。

GitHub依賴oAuth或臨時哈希字符串。在前者中,您已經驗證過一次,並且令牌可以反覆重複使用。在後者中,您需要使用該令牌幾秒鐘(或幾分鐘或全部會話),然後放棄登錄您的身份。

它也適用於除GET或POST以外的其他方法。 PUT,LIST和DELETE也可以是使用的方法之一,具體取決於你需要的。可以從$ _SESSION變量中檢索http方法,但是如果您從未使用'raw'輸入(file_get_content(「php:// input」);),則獲取提供的XML可能會很麻煩。

如果我的答案中沒有答案,我可能會錯誤地閱讀你的問題。