我是Android
的新手。我正在开发和Android app
,其中包含一些database
调用。我将DB_USERNAME
、DB_PASSWORD
作为POST
请求中的参数发送给PHP
,然后使用PHP
获得MYSQL Database connection
。
通过Database
User Name
和Password
作为参数好吗?
或
我们应该在PHP
中给Database
User Name
和Password
吗?
提前谢谢。
通过提出此类问题,我强烈建议您首先阅读网络安全的基础知识!!:)
通过网络将凭据发送到服务器以供其访问数据库是绝对不可能的
- 您的网络服务器将凭据存储在一个单独的文件中,该文件无法通过网络访问。您可以通过将凭据文件放在Web服务器的文档根目录之外来实现这一点
- 此外:您的数据库服务器应该只接受来自可信IP的通信。如果您的web应用程序实例和DB实例位于同一服务器上,请仅从localhost接受
您可能想要验证您的应用程序客户端是否限制了数据库调用的可访问性。通常,您只发送客户端s credential
s一次,服务器会对其进行验证并使用auth令牌进行响应。对于任何进一步的通信,都会使用令牌,该令牌在定义的时间段后失效。(基于令牌的身份验证)
这样做的目的是最大限度地减少凭证的暴露时间。即使您使用SSL加密。
祝你好运Hannes