Webservice應用程序 - 安全的應用程序（登錄，用戶數據等）

Question

我正在創建一個Android和iOS應用程序，用戶必須設置一個用戶名，密碼和郵件地址的帳戶，以便發送密碼忘了吧。這是一種遊戲，所以它也將在MySQL數據庫中節省他們的勝利和損失。所以不是真正的個人數據（如地址或電話號碼）。

該應用程序通過PHP腳本（JSON和POST http方法）與MySQL數據庫進行通信。所以實際上我沒有太多的安全知識，我想知道如何將安全數據從應用程序傳輸到服務器。通過POST將數據發送到PHP腳本會保存嗎？我使用md5-hash將密碼保存在數據庫中。

以及如何確保數據是從具有活動帳戶的手機發送的？

感謝您的幫助。

Answer 1

「我使用md5-hash將密碼保存在數據庫中。」

這很糟糕。使用password_hash()和password_verify()而不是MD5。

「我想知道如何將安全數據從應用程序傳輸到服務器。」

通過HTTPS而不是HTTP服務。如果你特別偏執，那就證明你的證書。

「[H]確認，數據是從一個有活動帳戶的手機發送的？」

沒有辦法使絕對確定。客戶可以並且會說謊。攻擊者可以欺騙用戶代理並打敗您可以設計的任何指紋識別方法。