这是我的情况:从PHP解析XML web服务使用jQuery调用:'https'足以保护XML吗?
我已经成功地创建了一个简单的PHP web服务来从MySQL中提取数据。我有一个使用jQuery制作AJAX调用该web服务的HTML页面。 PHP返回XML,jQuery解析并显示成功。这里很标准的东西。
我已经在转换到HTML页面期间保护XML的安全方面做了大量的研究。我没有传递敏感信息,但我不喜欢这个信息只是在运输过程中进行的。我正在考虑使用https进行所有呼叫并确保web服务文件夹安全。有谁知道这是否足以保护数据?我觉得它应该是...
此外,这种类型的webservice最终可能会被iPhone APP使用,如果它对这里的答案或答案的方向有任何影响的话。思考?谢谢阅读。
如果您的用户需要在使用webservice时进行身份验证,并且这是通过https完成的,并且通过https发送xml也是如此。这部分传输是安全的,不能被嗅探。
如果你连接到你的MySQL服务器的专用网络或阻止MySQL服务器的外部访问以及随后都应该是安全的(不考虑不安全的脚本)
在这一点上,我不需要任何用户认证,因为我们正在讨论的只是从PHP web服务执行的MySQL数据库搜索查询返回信息。这证实了我的怀疑,即HTTPS足以保证这种简单的沟通。在本网站(或Google)的大多数帖子中找到的答案都会产生“不可能”或“无法完成”等答案。当HTTPS看起来像一个可靠,明显的解决方案时,我发现这很奇怪。 – MindSculpt 2011-04-14 19:07:22
后续问题:有谁知道如果您使用jQtouch并最终决定将其封装为iPad应用程序,如果您仍然可以在没有任何xcode帮助的情况下对您的web服务进行https调用?我想,https呼叫一旦以“应用”形式出现就无法工作,因为如果没有xcode呼叫,用户手机上的应用本身就无法保护。有任何想法吗? – MindSculpt 2011-04-22 12:26:11
如果它不是敏感的数据,为什么会关注关于嗅探交通的人? – drudge 2011-04-14 18:52:20
好问题。这是我经历过收集的麻烦的信息,宁可不只是“放弃”一切美好而美丽。另外,如果可能的话,只是计划确保这些类型的服务,似乎是一种很好的做法。 – MindSculpt 2011-04-14 19:16:12
你只能把它送给坐在ISP或NSP嗅探流量的人。我怀疑有人冒这种风险会发现你的信息像信用卡号码,SSN等有利可图。 – drudge 2011-04-14 19:21:18