0

Android のセキュリティに関する具体的な質問があります。

まず、私の問題を詳しく説明します。PHP 経由でデータベースに接続したいのです。しかし、PHP ファイルへの接続に使用する apk から、誰もがリンクを抽出できます。これは問題につながります: このリンクを呼び出すだけで、誰もが私のデータベースを操作できます。SQL インジェクションを防ぎたい。

この問題の解決策を探しています。私の最初の、そしておそらく最も単純なアイデアは、PHP ファイルのアクセスを認証するために使用される、完全にプライベートな文字列を作成することでした。しかし、コードから抽出されるリスクを冒さずにそのような文字列を保存する方法がわかりません(たとえば、Strings.xmlを取得するか、単にコードに書き込むなど)。APKで文字列を完全に非公開にする簡単な方法はありますか(誰も抽出できないように)? それとも、もっと良い解決策がありますか?

4

2 に答える 2

0

クライアントに保存されているものはすべて、取得/スプーフィングなどできます。データベースに対してコマンドを実行する前に、クライアントをサーバーに対して認証する必要があります。

不正アクセスからデータベースを保護する必要があります。現時点では、URL を非表示にするだけで「あいまいさによるセキュリティ」を使用しているようです。これは悪い習慣です。見つけたくない人が誰かに見つかるのは時間の問題です。リバース エンジニアリングすら必要なく、ルーターのログを一目見ただけです。

また、SQL インジェクションとは、適切にサニタイズされていないコードによって作成された SQL クエリに悪意のあるコードが挿入されることです。この攻撃は、認証されたセッション内で機能します。これも注意が必要ですが、質問で説明したリスクではありません。

于 2013-03-13T22:18:05.160 に答える