Вопросы по безопасности flash+amfphp+php+sql

metsys · 11.10.2011, 19:48

Вопросы наверняка 100 раз подымались, но точного ответа так и не нашёл хотелось бы понимать:
1. Нужно подключатся к БД, при этом авторизацию проходить во флеше - записывая: хост, пользователь, пароль. бд. Насколько безопасно использование передачи из flash в amfphp? Каким способом это лучше всего делать(бесплатным).
2. Насколько безопасно формировать sql-запросы через flash и отправлять их через amfphp? Или настоятельно рекомендуется передавать только переменные, и подставлять их в нужный запрос уже в php-скрипте?
3. Насколько опасно создавать пользователей MySQL БД имеющих право работать с этой БД не только на localhost.

Пока что всё но список вопросов думаю будет пополнятся.

Astraport · 11.10.2011, 22:36

по простому все это на порядок опаснее обычного серверного подключения.

trng · 11.10.2011, 23:07

Аксиома: Все, что получено от клиента может быть изменено/подделано.
Поэтому: все, что вы получили "от флеша" - это "недостоверные данные".

Теперь по вопросам:

1. Авторизация.
Другого варианта кроме как "передачи из flash в amfphp" (я бы даже сказал "передачи из flash в php/java/или_что_у_вас_на_сервере") НЕТ.
Любая подобная передача данных - это некий POST/GET запрос, который сам по себе не секюрный (в плане передачи по сети). В этом плане можно изобретать очередной велосипед, но можно воспользоваться https/SecureSocket (который AS "нативно" поддерживает, плюс всевозможные надстройки).
Можно конечно поговорить о коннекте непосредственно к SQL, но в случае коннекта к удаленному серверу, а не к localhost, это скорее из разряда экзотики.

2. Насколько безопасно формировать sql-запросы через flash.
Исходя из "Аксиома"+"Поэтому" крайне нежелательно формировать sql-запросы через flash. Либо это чисто read-only запросы с максимальными ограничениями на уровне sql-пользователя.

3. Насколько опасно создавать пользователей MySQL БД имеющих право работать с этой БД не только на localhost.
Повторюсь (см. ответ №1):
Можно конечно поговорить о коннекте непосредственно к SQL (не через php), но в случае коннекта к удаленному серверу (а не к localhost), это скорее из разряда экзотики.
Другими словами - нужен "свой" список пользователей, привязанный не только (и не столько) к логике SQL-сервера, сколько к бизнес-логике вашего сервера/сервиса.

metsys · 12.10.2011, 18:18

2. То есть лучший способ - это передавать параметры(нужные поля) в php а там уже формировать запрос?

По поводу 1. и 3. пока в подвешенном состоянии.

Dimitry_II · 12.10.2011, 20:17

И в запросе лучше не кидать пароль, сразу делать хеш и его передавать.

trng · 12.10.2011, 20:33

Просто хэш - это полумера.
Или использовать https/SecureSocket, или заморачиваться с солью, сессионными ключами и т.п.

metsys · 13.10.2011, 12:44

1. Можно какой то пример кода по SecureSocket в as3 - передачи параметров из as3 в php с использованием SecureSocket?