我很想知道在为我的网站构建服务时,允许web开发人员使用PHP是否可以接受如果这是流线型的并且过于安全,那么这样做安全吗?
下面是一个例子:
有人正在构建web应用程序,需要访问网站的用户(存储在MySQL数据库表中)。如何获得MySQL表结果?好吧,他可以使用PHP(或AJAX)来获取变量。如果你给他设置了一些精简类和过度安全的类,他应该能够毫不费力地获得这些变量。
现在,我想知道的是,在我的网站上使用rando在互联网上的PHP功能是否安全。我不认识这个人,也不会真正见到他们,但他们需要为我的网站创建内容,我想确保这样做不会有安全风险。
提前谢谢。
允许第三方访问您的网站在本机代码中是不可取的-不写文件,也不写数据库。这是一个安全风险,而且是不明智的。
对于这样的事情,最好的解决方案是为网站编写一个API:
例如,他们需要访问用户列表,因此编写一个只读(密钥锁定)api,该api提供用户列表并可搜索
使用密钥锁定意味着您可以限制呼叫,记录谁呼叫了什么以及呼叫次数,还可以撤销访问权限。
例如。他们会打电话给
yoursite/api/getusers?name=john&key=mykey
并获得一份包含所有John等的列表
通过这种方式,您的数据库保持安全,并且没有外部代码可以在您的站点/服务器上运行。