|
|
« Предыдущая тема | Следующая тема » |
Опции темы | Опции просмотра |
|
|
|||||
Регистрация: Feb 2010
Сообщений: 102
|
Вопросы по безопасности flash+amfphp+php+sql
Вопросы наверняка 100 раз подымались, но точного ответа так и не нашёл хотелось бы понимать:
1. Нужно подключатся к БД, при этом авторизацию проходить во флеше - записывая: хост, пользователь, пароль. бд. Насколько безопасно использование передачи из flash в amfphp? Каким способом это лучше всего делать(бесплатным). 2. Насколько безопасно формировать sql-запросы через flash и отправлять их через amfphp? Или настоятельно рекомендуется передавать только переменные, и подставлять их в нужный запрос уже в php-скрипте? 3. Насколько опасно создавать пользователей MySQL БД имеющих право работать с этой БД не только на localhost. Пока что всё но список вопросов думаю будет пополнятся. |
|
|||||
Регистрация: Jun 2011
Сообщений: 212
|
Аксиома: Все, что получено от клиента может быть изменено/подделано.
Поэтому: все, что вы получили "от флеша" - это "недостоверные данные". Теперь по вопросам: 1. Авторизация. Другого варианта кроме как "передачи из flash в amfphp" (я бы даже сказал "передачи из flash в php/java/или_что_у_вас_на_сервере") НЕТ. Любая подобная передача данных - это некий POST/GET запрос, который сам по себе не секюрный (в плане передачи по сети). В этом плане можно изобретать очередной велосипед, но можно воспользоваться https/SecureSocket (который AS "нативно" поддерживает, плюс всевозможные надстройки). Можно конечно поговорить о коннекте непосредственно к SQL, но в случае коннекта к удаленному серверу, а не к localhost, это скорее из разряда экзотики. 2. Насколько безопасно формировать sql-запросы через flash. Исходя из "Аксиома"+"Поэтому" крайне нежелательно формировать sql-запросы через flash. Либо это чисто read-only запросы с максимальными ограничениями на уровне sql-пользователя. 3. Насколько опасно создавать пользователей MySQL БД имеющих право работать с этой БД не только на localhost. Повторюсь (см. ответ №1): Можно конечно поговорить о коннекте непосредственно к SQL (не через php), но в случае коннекта к удаленному серверу (а не к localhost), это скорее из разряда экзотики. Другими словами - нужен "свой" список пользователей, привязанный не только (и не столько) к логике SQL-сервера, сколько к бизнес-логике вашего сервера/сервиса. |
|
|||||
Регистрация: Feb 2010
Сообщений: 102
|
2. То есть лучший способ - это передавать параметры(нужные поля) в php а там уже формировать запрос?
По поводу 1. и 3. пока в подвешенном состоянии. |
|
|||||
Регистрация: Jan 2010
Сообщений: 211
|
И в запросе лучше не кидать пароль, сразу делать хеш и его передавать.
|
|
|||||
Регистрация: Jun 2011
Сообщений: 212
|
Просто хэш - это полумера.
Или использовать https/SecureSocket, или заморачиваться с солью, сессионными ключами и т.п. |
|
|||||
Регистрация: Feb 2010
Сообщений: 102
|
1. Можно какой то пример кода по SecureSocket в as3 - передачи параметров из as3 в php с использованием SecureSocket?
|
Часовой пояс GMT +4, время: 13:43. |
|
« Предыдущая тема | Следующая тема » |
|
|