我有一个应用程序,并使用HTTP POST通过PHP脚本访问数据库。例如
https://www.someserver.com/scripts/request.php
和参数在消息体内。
在服务器端,PHP脚本(request.php)将访问数据库,然后使用return:
返回一些数据return data
两种方式都足够安全吗?
两种方式都足够安全吗?
你是安全的,从Man-in-the-Middle Attacks。但是由于您没有发布任何与如何将参数插入到您的表中相关的代码,因此我们不能说这是100%安全。
A HTTPs并不意味着您的站点是完全安全的。数据流以安全加密的方式发送。如果您的代码不能正确处理这些数据(过滤、转义),恶意用户仍然可以发起SQL注入攻击或XSS攻击。
SSL/TLS提供a)传输中的数据加密和b)您正在与之通信的一方的识别,以便您可以确定您正在向您认为正在发送数据的人发送数据。只要您使用的是没有漏洞的强大密码套件,那么即使流量被拦截也无法解密,数据不应该被潜在的中间人看到。您使用它支持的密码配置web服务器。您可以使用http://ssllabs.com来测试它们的强度。其次,只要您拥有受信任的证书并在您的客户端中确认其有效性,您就应该能够合理地安全地与正确的端点进行通信。
说了这么多,如果你的服务器上有其他一些巨大的后门,服务器本身已经在你不知道的情况下受到损害,所有这些都是没有意义的。安全来自于一个严密的系统。拥有TLS/SSL对于该系统的一小部分来说是很好的,它没有说明其他可能的攻击向量。你只需要不经意地通过电子邮件不安全地发送你的SSL证书,有人拦截并窃取证书,他可能能够冒充你的服务器,而你仍然信任证书。