限制对php文件的访问

Question

目前，我目前正在编写一个Android应用程序，该应用程序访问服务器上的PHP文件并显示由MYSQL数据库提供的JSON数据。

一切都很好，我喜欢它的简单性，但是我对有人可以只输入此PHP文件的URL并显示一个充满潜在敏感数据的页面这一事实不太满意。

您会给我什么建议，以防止除使用我的Android应用程序的用户以外的任何人访问此PHP文件？

非常感谢您提供任何信息。

Answer 1

关键字是认证。 HTTP认证就是为此目的而设计的！

HTTP-auth有两种形式：

1. 基本：易于设置，安全性较低

2. 摘要：较难设置，更安全

   • 这是php手册。
   • 这就是您可以在android应用中执行的操作。

Answer 2

确实没有做到这一点的简单方法。 但是，您可以要求用户代理与您的应用程序匹配。 您还可以在应用程序中隐藏私钥，该私钥作为POST数据传递到PHP文件。 现在，这一切都不会阻止一个决心获得原始产出的人，但是，这只会减慢那些只是费时费力地花些时间看看自己能完成什么的人。

Answer 3

如果使用以下标头发送请求，为什么不只启用有效的响应：

Content-Type=application/json

如果请求没有将其作为Content-Type传递，则您只需终止脚本（因为常规浏览器通常希望获取text/html或类似内容）。 锁定所有内容并不是真正值得的，就像您的应用程序可以从服务器中获取数据一样，任何用户也有机会。