php的接口安全的方面
|
在平时工作或者正式项目中,做接口在所难免,而接口的安全问题首当其冲,为了防止接口被别人恶意调用,一般会做一个加密的工作,不同的公司,都有一套不同的处理方式。我们公司也有一套处理方式,即:做了一个加密的token,该token为时间戳和一个特殊字符串(这个字符串只能调用和被调用方知道)的md5,我也一直用这个处理方式来做接口。 有一次在帮部门的一个同事做接口的时候,他忽然跟我说起接口的事情,如果这个接口的url被别人随便用一个工具抓到,比如:firebug,那么人家就可以进行恶意调用了,其实这个token没什么用,因为别人可以保留这个请求。一下提醒我了,之前一直没有注意到这个问题,简单的认为这个url不会被轻易抓到(虽然自己一直用firebug),即使被抓到,也绕不过token的检查。后面跟这位同事大概讨论了一下这个问题的处理办法,他建议通过ip来判断,判断同一个ip的请求频率,如果频率过高则为恶意调用,当然这个方法也可行,只是稍微麻烦了一些,后面想到了一个更为简单的方法,即:时间的有效性。因为token是由时间戳和特殊字符串md5而成,那么每次调用接口的时候,我可以把当前调用的时间戳记录下来(比如保存在一个数组中,以文件的形式存放),然后在下次调用时判断请求的url中的时间戳在数组中是否存在,若存在则为恶意调用(因为若为正常调用,每次请求的url中的时间戳都是不一样的)。如此,便可防止接口被恶意调用。另外,随着调用次数的增加,存放时间戳的文件会越来越大,针对这个问题,可以不定期删除php接口,即使有人*的保存一个url很长时间,然后某一天心血来潮,再来一次调用,接口也只会被恶意调用一次,不会产生影响。
PHP安全问题,不仅仅是接口安全,还有诸多安全问题,比如常见的SQL注入,XSS攻击等,这些的防范,都需要平时coding的时候从一开始就重视起来,否则到时候不但难于查找,也比较被动,甚至可能会因为这些安全问题,会给项目带来毁灭性的的打击,当然也会让你痛不欲生! (编辑:好传媒网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
