在iOS-> php-> mySQL之間安全地傳輸數據

Question

基本上，我有一個iOS應用程序，它將POST請求發送到包含其位置的網站上的php文件，然后php文件將其連接/發送到mySQL數據庫，反之亦然。 一切正常，等等。但是我真正想要的是確保沒有人可以制作一些假腳本來向我的php文件發送POST請求並滲透數據庫。

我的第一個想法是擁有某種“鑰匙”，該鑰匙也將被發送來檢查它是否與php文件中的鑰匙匹配。 我可以像這樣https://www.grc.com/passwords.htm 。 無論如何，我擔心這並沒有我想要的安全（或有效）。 查看我的代碼以接受App Store的人會看到它，對嗎？

抱歉，如果這是一個愚蠢的問題，但是確保僅我可以從mySQL數據庫（從而從PHP文件）發送/接收數據的最佳方法是什么？

謝謝！

Answer 1

Jajaja“對不起，如果這是一個愚蠢的問題”。 除非您沒有學習的欲望，否則永遠不會有一個愚蠢的問題。

我也有一個類似的問題，您確實想保護要處理的數據，因為這非常重要。 您必須同時看到客戶端和服務器。

例如，在客戶端：

1）您是否正在將數據發送到服務器，以使這可能難以辨認？

2）您是否使用https？

或在服務器中：

1）您的服務器能夠識別數據何時到達可靠嗎？

2）您是否使用任何算法對數據進行加密？ 客戶端加密和服務器解密，反之亦然？

並非總是因為他們使用密鑰，所以總是安全的。 希望對您有用，並為我的英語道歉:)

Answer 2

•通過SSL發送

•在您的應用程序中實現SSL固定

•（可選）使用鹽對全部或部分數據/查詢參數等進行哈希處理，並將此哈希值與其余哈希值一起傳遞。 在服務器上哈希/加鹽參數/數據等，並驗證鹽是否匹配。 他們將不得不繞過ssl，您的固定，然后重新開發您的應用，以提取應用鹽以及鹽本身所采用的方法。 這里的例子

•至於php / server端，您要清除所有要轉到mysql的內容。 例

這是一個“開始”。

Answer 3

問題的症結似乎是：“滲透數據庫”。

避免此問題的方法是從不向數據庫發出用戶創建的命令。 攔截所有用戶請求，解析，驗證和提取信息。 如果一切順利， 您的代碼將使用經過清理的參數向數據庫發出請求。

SSL將保護傳輸中的數據。 您還需要防止創建攻擊請求的攻擊者。