嘿。对于Web编程领域的新手来说,他们学习了一堆相当简单的新技术,试图将它们拼凑在一起。因此,我们有一个简单的客户端(目前iPhone,即将转移到J2ME),它通过PHP与MySQL数据库交谈来拉下数据列表。我有一个基本的用户/登录系统,因此数据只能提供给与网站或客户端上已知用户等相匹配的人。从手机到网站的客户端/服务器安全
网站上查询数据库的所有php脚本检查以确保活动会话已到位,否则将用户转储回登录屏幕。
我读了一点关于SSL,想知道是否足以保护网站和数据在服务器和客户端之间传递?
HTTPS关于保护数据和验证端点。您仍然需要担心正确认证客户端以访问您的服务。您还必须担心影响PHP的漏洞,例如SQL Injection和other vulnerabilities。我强烈建议阅读OWASP 2010年前10名A3: Broken Authentication and Session Management以确保您的会话实施是安全的。
是的,SSL已足以保护客户端和服务器之间的连接,因为它已正确设置。
您的用户凭证还应该通过SSL连接从客户端发送到服务器。
他希望保护数据,因此整个会话必须由SSL/TLS覆盖,而不仅仅是登录。 – 2010-05-05 23:42:41
同意;关于登录的全部事情只是提醒他,如果他使用SSL,他应该记住还要通过SSL传递信用信息(这是验证后启动SSL会话的常见错误,并且人们通过明文传递信用) – Alan 2010-05-06 17:53:51
谢谢。这正是我关心的问题;对这些技术知之甚少,我想确保涵盖所有角度。我已经阅读了足够多关于SQL Injecttion等的内容,非常担心。 我会做更多的阅读,特别是关于“验证客户端”。 – 2010-05-05 23:16:33
这可能是一个愚蠢的问题,但期望能够实现“足够好”的安全性,同时对于整个游戏来说相对较新是否合理?新的,我会说几个月的MySQL和PHP的工作。 – 2010-05-06 15:38:37
@Amir Latif可能不会,我会试着找到一个图书馆或框架来帮助。例如,如果您从Joomla等CMS构建您的应用程序,您将为您编写所有这些内容。一个CMS很容易定制,你可以建立插件来做你想做的任何事情。 – rook 2010-05-06 17:44:16