我有一个应用程序并使用HTTP POST通过PHP脚本访问数据库。例如,
https://www.someserver.com/scripts/request.php
并且参数在消息体内。
在服务器端,PHP脚本(request.php)将访问数据库,然后使用return返回一些数据:
return data
两种方式都足够安全吗?
答案 0 :(得分:1)
两种方式都足够安全吗?
但是你对Man-in-the-Middle Attacks安全。但是,由于您没有发布任何与参数将如何插入表格相关的代码,我们不能说这是 100%安全。
HTTPs 并不意味着您的网站完全安全。这是以安全加密方式发送的 数据流 。如果您的代码无法正确处理这些数据(过滤,转义),恶意用户仍然可以启动SQL注入攻击或XSS攻击。
答案 1 :(得分:1)
SSL / TLS提供a)传输中数据的加密和b)识别您正在与之通信的一方,这样您就可以确定您正在向您认为发送数据的人发送数据。只要您使用没有漏洞的强密码套件,即使拦截了流量也无法解密,潜在的中间人不应该看到数据。您使用它支持的密码配置Web服务器。您可以使用http://ssllabs.com来测试他们的力量。其次,只要您拥有可信证书并在客户端确认其有效性,您就应该合理安全地与正确的终端进行通信。
说了这么多,如果你的服务器中有一些其他的巨型后门,而服务器本身已经在你不知情的情况下受到了损害,那么这一切都没有实际意义。安全性来自于一直拥有一个密闭系统。拥有TLS / SSL对于该系统的一小部分非常有用,它没有提及其他可能的攻击向量。您只需要通过电子邮件无意中发送您的SSL证书,有人拦截并窃取证书,他可能会冒充您的服务器,而您仍然信任该证书。