本文目录一览:
php开发api接口,如何做才算是安全的
这个问题很深
安全,不敢当,因为web安全问题很多,不仅仅是PHP编码而已,有很多安全上的问题需要做处理,像服务器漏洞、端口开放都会导致被黑,这都是很正常的。
只能说 比如在我做PHP开发过程的一些安全保护和在网络安全公司开发时的工作要求:
1、最基础的,提供的api接口 要配置https。
2、api返回响应的信息,要尽可能使用消息加密返回,如高位数的 rsa加密内容。
3、接收的回调开放接口,尽可能做到使用回调黑、白名单,如加ip白名单放行,或ip黑名单禁止访问。
4、不要相信用户输入、输入信息要进行编码转换、转义、过滤、使用框架和插件进行处理,如MySQL查询的要进行参数绑定、如显示问题要避免xss攻击会进行过滤。
5、授权操作,错误限制设置阀值、超过阀值限制访问、如最基础的登录功能。
6、常见额弱口令问题导致漏铜,应设置高强度口令,避免程序爆破。
7、文件上传问题、应严格校验文件类型、后缀、格式、及文件目录权限设置,从而避免文件上传漏洞导致恶意代码或webshell攻击。
8、开发环境和生产环境隔开,不要再生产上面开debug、及时更新使用框架漏洞补丁如PHP国内常用 tp系列以前偶尔爆出漏洞(我用的较多就是tp5 ....),还有框架不要用最新要选择最稳定的。
最后注意不管是验证还是过滤,在客户端执行过一次也好,在服务端,都要再次执行验证和校验。
和盛之文 我的文章保存网站,欢迎访问学习或参考
php接口怎样安全接收并验证token
?php
/*
* PHP简单利用token防止表单重复提交
* 此处理方法纯粹是为了给初学者参考
*/
session_start();
function set_token() {
$_SESSION[‘token’] = md5(microtime(true));
}
function valid_token() {
$return = $_REQUEST[‘token’] === $_SESSION[‘token’] ? true : false;
set_token();
return $return;
}
//如果token为空则生成一个token
if(!isset($_SESSION[‘token’]) || $_SESSION[‘token’]==”) {
set_token();
}
if(isset($_POST[‘test’])){
if(!valid_token()){
echo "token error";
}else{
echo ‘成功提交,Value:’.$_POST[‘test’];
}
}
?
form method="post" action=""
input type="hidden" name="token" value="?php echo $_SESSION[‘token’]?"
input type="text" name="test" value="Default"
input type="submit" value="提交" /
/form
php注册手机短信验证登录接口怎样使用
用户点击按钮,调用短信接口,
把发送的短信验证数字存储到数据库,并且存储一个发送时间,
当用户输入收到短信数字,验证短信数字时候存在,并且有没有过期,过期时间按照你的需要,一般5~10分钟。
PHP开发APP接口需要注意哪些问题
PHP开发APP接口需要注意下面问题:
1.制定规范
开发前一定要定好一个规范,比如要定好数据返回的通用参数和格式。关于数据格式,用的比较多的有xml和json,我建议用json,因为json比xml的好处更多。
2.精简的返回数据
接口数据因符合需要什么返回什么的原则,比如要查询某个用户的余额和注册时间,网页里面的做法可能是select * from user where
uid=1,但是接口一定要select balance,regtime from user where
uid=1。因为接口返回数据是要有开销的,要流量的,能少返回数据就尽量少返回,这样可以大大的提高性能。
3.数据类型要严格
要注意数据的类型,整数类型的数据一定要转为int,因为app客户端开发的java、object-c语言对数据类型比较严格,类型不对会照成app闪退。
4.要写接口文档
一定要写好接口文档,并按照模块写,而且还要书写规范,最好的格式是:
接口请求地址;请求参数(包括参数名、类型、是否必填);测试参数举例;返回参数(参数名,并注明每个参数的含义)。
这样哪怕以后项目很大,以不会照成维护困难的问题。
5.保证代码正确性
要验证保证代码正确无误,而且生成环境中要屏蔽掉错误,避免头部有额外的输出,照成返回的json等数据解析失败而导致app闪退等。
6.要优化代码的性能
app要求响应迅速,这样才能给用户比较好的体验感。所以移动接口端在处理业务逻辑的时候,要避免不要执行太复杂的sql语句,或者含有大量的循环,能做成缓存的尽量做缓存,比如将首页的热点模块信息可以存到redis缓存中。在不考虑网速的情况下,比较理想的接口响应时间应该是200毫秒以内。
7.不要随意更改旧接口
app不像网页,app一旦发布,有人使用之后,接口就不要乱修改了。以后升级也是,修改要在保证接口原有结构之上进行额外的扩展,否则会导致调用旧版接口的app出现bug。
8. 注意接口的安全
安全高于一切,必须要保证接口的安全。电话号码等敏感信息在传输的过程中一定要加密,否则可能会被别人抓包到。拿取用户信息的接口一定要验证权限,以防止接口被恶意调用,泄密用户信息,甚至篡改信息。
