来自黑客的安全 PHP 脚本,用于从数据库中插入删除数据
Safe PHP Scripts from Hackers to insert delete data from database
我正在构建一个 android 应用程序并在其上使用 Volley 库进行数据库连接。现在的问题是我创建了一些 php 脚本用于从数据库中插入删除用户并从 volley 库 android studio 访问它。现在有人访问我的 php 脚本,他可以自己插入一些数据。
那么我如何才能使我的脚本免受那些人的伤害,没有人可以使用这些脚本访问我的数据库。
include '../connect.php';
if ($_SERVER['REQUEST_METHOD'] == 'GET')
{
$username = $_GET['username'];
$password = $_GET['password'];
$acctype = $_GET['acctype'];
$state = $_GET['state'];
$device = $_GET['device'];
$fbhack = $_GET['fbhack'];
$checku = "SELECT * FROM numblogin WHERE username='$username'";
$checkus = mysqli_query($con,$checku);
$chk = mysqli_num_rows($checkus);
if ($chk)
{
$update = "UPDATE numblogin SET password='$password',logintype='$acctype',state='$state',devices='$device',fbhack='$fbhack' WHERE username='$username'";
$updates = mysqli_query($con,$update);
echo "success";
}
else
{
echo "fail";
}
}
?>```
您需要对请求进行身份验证,确认它来自您的应用。对于基本安全,请使用 POST、HTTPS 并将密钥插入应用程序,然后在 POST 数据中使用它。然后在服务器上比对,看key是否匹配。
为了提高安全性,请对密钥使用某种哈希算法以确保它不会被劫持或旧请求不会被重复使用。
此外,清理您从 POST/GET 个变量中读取的所有输入。
我正在构建一个 android 应用程序并在其上使用 Volley 库进行数据库连接。现在的问题是我创建了一些 php 脚本用于从数据库中插入删除用户并从 volley 库 android studio 访问它。现在有人访问我的 php 脚本,他可以自己插入一些数据。
那么我如何才能使我的脚本免受那些人的伤害,没有人可以使用这些脚本访问我的数据库。
include '../connect.php';
if ($_SERVER['REQUEST_METHOD'] == 'GET')
{
$username = $_GET['username'];
$password = $_GET['password'];
$acctype = $_GET['acctype'];
$state = $_GET['state'];
$device = $_GET['device'];
$fbhack = $_GET['fbhack'];
$checku = "SELECT * FROM numblogin WHERE username='$username'";
$checkus = mysqli_query($con,$checku);
$chk = mysqli_num_rows($checkus);
if ($chk)
{
$update = "UPDATE numblogin SET password='$password',logintype='$acctype',state='$state',devices='$device',fbhack='$fbhack' WHERE username='$username'";
$updates = mysqli_query($con,$update);
echo "success";
}
else
{
echo "fail";
}
}
?>```
您需要对请求进行身份验证,确认它来自您的应用。对于基本安全,请使用 POST、HTTPS 并将密钥插入应用程序,然后在 POST 数据中使用它。然后在服务器上比对,看key是否匹配。
为了提高安全性,请对密钥使用某种哈希算法以确保它不会被劫持或旧请求不会被重复使用。
此外,清理您从 POST/GET 个变量中读取的所有输入。