在不提供 API 密钥的情况下访问 Laravel 中的数据库有多安全?
How secure is it to access a database in Laravel without API key provided?
先决条件:
PHP:5,Laravel:5.1,MySQL:innodb 5.6.34。
问题:
我们构建了一个具有单一端点 "test" 的网络 API。现在应该添加另一个端点 ("health") - 这个端点用作 API 的健康指标:当我们调用 test.api.com/health?,相应的控制器应该直接连接到数据库并发送两个状态作为对用户的响应:API 的状态和数据库的状态(数据在那里,数据库是活的,一切都很好)。
问题:
在没有身份验证中间件的情况下制作这样的控制器有多安全?或者换句话说:在没有 api 密钥的情况下调用连接到数据库的端点有多安全?
注意,该框架将来可能会发生变化 - 可能会变成 Python 的 Flask,以及 DB - 会变成 PostgreSQL。因此,即使您不具备 Laravel 或 MySQL 方面的专业知识,也请不要犹豫,提供您的反馈。
你不应该对此有任何问题。您没有接受用户输入,因此您不会受到任何 sql 漏洞的影响,如果您是这么想的话。您可能希望将响应缓存几秒钟,以免破坏数据库服务器。可选地,API 上的速率限制器可能是个好主意。
先决条件:
PHP:5,Laravel:5.1,MySQL:innodb 5.6.34。
问题:
我们构建了一个具有单一端点 "test" 的网络 API。现在应该添加另一个端点 ("health") - 这个端点用作 API 的健康指标:当我们调用 test.api.com/health?,相应的控制器应该直接连接到数据库并发送两个状态作为对用户的响应:API 的状态和数据库的状态(数据在那里,数据库是活的,一切都很好)。
问题:
在没有身份验证中间件的情况下制作这样的控制器有多安全?或者换句话说:在没有 api 密钥的情况下调用连接到数据库的端点有多安全?
注意,该框架将来可能会发生变化 - 可能会变成 Python 的 Flask,以及 DB - 会变成 PostgreSQL。因此,即使您不具备 Laravel 或 MySQL 方面的专业知识,也请不要犹豫,提供您的反馈。
你不应该对此有任何问题。您没有接受用户输入,因此您不会受到任何 sql 漏洞的影响,如果您是这么想的话。您可能希望将响应缓存几秒钟,以免破坏数据库服务器。可选地,API 上的速率限制器可能是个好主意。