$ _ POST安全PHP web服务

Question

我道歉，如果这个问题已经被问，如果它只是链接我它在一个评论。

所以我用php一个Android/iOS的应用程序，这样工作创建的Web服务。

1. 该应用程序发送到http://www.example.com/ws/getCookingData.php请求与2个$_POST PARAMATERS userID和foodType

2. 的php文件然后查询使用这两个变量的数据库，并返回一个结果json_encode。

我担心的是，如果有人发现我的网络服务链接他们可以导致调用我的数据库100的那些只是联合国需要

以下POST请求的垃圾邮件是一个例子我目前getData.php文件

<?php 
$userID = mysql_escape_string($_POST['userID']); 
$foodType = mysql_escape_string($_POST['foodType']); 

$mysqli = getDB(); 

echo json_encode(getDate($mysqli, $userID, $foodType); //mysql database interaction is here 

$mysqli->close(); 
?> 

这里没有什么防止黑客试图恶意的SQL语句发布到我的数据库

所以我想知道的是，如果我添加第三个参数到我的发布请求appID这是一个很好的解决方案吗？

例如，如果我是来更新我的getData.php文件下面这会是更安全还是有漏洞，我失踪？

<?php 
$appID = $_POST['appID']; 

if($appID === "hardCodedEquivalentID"){ 
    $userID = mysql_escape_string($_POST['userID']); 
    $foodType = mysql_escape_string($_POST['foodType']); 

    $mysqli = getDB(); 

    echo json_encode(getDate($mysqli, $userID, $foodType); //mysql database interaction is here 

    $mysqli->close(); 
} 

?> 

如果这是一个很好的解决方案，或者已经有一个等效的做法，将实现我想要做的请告诉我

Answer 1

使用mysql_real_escape_string()

2 -使用str_replace(" ","",$_POST['userID'])和str_replace("%20","",$_POST['userID'])（因为恶意攻击涉及使用％20和空间来注入sql查询）

3-此行添加到页面的顶部，因此该脚本只需要申请，如果其已经从您的网站（这是我在用呢！）

$referrer = $_SERVER['HTTP_REFERER']; 
if (strpos($referrer,"yourwebsite.com")) { 
} else { 
die(); 
} 

Answer 2

要回答你的第一个问题

我担心的是，如果有人发现我的网络服务的链接，他们 可能与导致通话的100对我的 数据库POST请求是只是联合国需要杜绝垃圾邮件，

如果有人想DoS攻击你，那么你不能做在你的代码，以防止它，但你可以尝试使用类似服务的CloudFlare。开始时不值得担心。

关于

这里没有什么防止黑客尝试发布 恶意的SQL语句到我的数据库

然后就上PDO

Answer 3

首先读取文档，使用mysqli或PDO而不是mysql函数已弃用。其次创建一个函数，用于验证用户并查看用户是否有权访问数据。第三，如果可能的话，尝试LIMIT的数据为100左右。

对appId进行硬编码不是解决方案。为每个特定注册用户创建唯一的ID，然后针对该特定用户匹配appId。当他们的会话过期时，清除访问令牌。在会话开始时，您可以登录并创建新的访问令牌，并可以在整个会话中使用相同的令牌。