我是从一个Android应用程序的PHP脚本临危信息和procces它发送数据时,我发现了一个安全问题:如果有人发现了这个网址(例如:mydomain.com/recievedata.php),任何人都将是能够将数据发送到我的系统.
什么是确保客户端发送数据的理想方法是应用程序?
谢谢!
我见过一些公司的一个简单方法就是包含一个密钥.例如,您可能有secret=3CH6knCsYmvA2va8GrHk4mf3JqmUctCMPOST数据的参数.那么你需要的receivedata.php只是顶部
if($_POST['secret'] != '3CH6knCsYmvA2va8GrHk4mf3JqmUctCM') {
header('HTTP/1.1 403 Forbidden');
error_log("ERROR: wrong secret: " . $_POST['secret']);
exit("Access denied");
}
您可以从random.org轻松生成随机字符串.
当然,这不是最安全的方法,并且该字符串可能以明文形式存储在APK中(不要使用它来发送启动代码!),但它很容易且足以让大多数人离开.例如,这可能适用于为游戏发送玩家分数.