したがって、ここには 2 つの問題があります: 1) サーバー側の PHP/データベースに POST 更新を発行するユーザーの認証 (彼らは自分自身であると主張しています) および 2) データベース資格情報の公開の防止。
1) LDAP などのサードパーティの統合サーバーを使用してユーザーを認証していますか?
2) サーバー資格情報は、アプリケーションでは必要ないため、アプリケーションに保存しないでください。ユーザーとそのリクエストを認証したら、サーバー側の PHP には、DB クレデンシャルを復号化し、ユーザーが送信した情報に基づいて SQL ステートメントを発行するセキュリティ機能が必要です。
したがって、あなたの質問に答えるには、はい、サーバー側のフレームワークをホストして着信要求を処理し、ユーザーを認証してから要求を実行することをお勧めします。
デスクトップ アプリで DB を直接更新できるようにしたい場合 (お勧めしません)、DB 資格情報の暗号化されたハッシュを保存し、復号化アルゴリズムを使用して復号化し、データベースに送信できます。
<?php
if(isset($_POST['query'])) {
$query = $_POST['query'];
$mysqli = new mysqli('localhost', 'my_user', 'my_password', 'my_db');
//Execute SQL
if($mysqli->query($query) === TRUE) {
$mysqli->close();
echo "successful";
} else { echo "SQL execution error"; }
} else {
echo "invalid query string";
}
?>