有一次在帮部门的一个同事做接口的时候,他忽然跟我说起接口的事情,如果这个接口的url被别人随便用一个工具抓到,比如:firebug,那么人家就可以进行恶意调用了,其实这个token没什么用,因为别人可以保留这个请求。一下提醒我了,之前一直没有注意到这个问题,简单的认为这个url不会被轻易抓到(虽然自己一直用firebug),即使被抓到,也绕不过token的检查。后面跟这位同事大概讨论了一下这个问题的处理办法,他建议通过ip来判断,判断同一个ip的请求频率,如果频率过高则为恶意调用,当然这个方法也可行,只是稍微麻烦了一些,后面想到了一个更为简单的方法,即:时间的有效性。因为token是由时间戳和特殊字符串md5而成,那么每次调用接口的时候,我可以把当前调用的时间戳记录下来(比如保存在一个数组中,以文件的形式存放),然后在下次调用时判断请求的url中的时间戳在数组中是否存在,若存在则为恶意调用(因为若为正常调用,每次请求的url中的时间戳都是不一样的)。如此,便可防止接口被恶意调用。另外,随着调用次数的增加,存放时间戳的文件会越来越大,针对这个问题,可以不定期删除,即使有人*的保存一个url很长时间,然后某一天心血来潮,再来一次调用,接口也只会被恶意调用一次,不会产生影响。
php安全问题,不仅仅是接口安全,还有诸多安全问题,比如常见的SQL注入,XSS攻击等,这些的防范,都需要平时coding的时候从一开始就重视起来,否则到时候不但难于查找,也比较被动,甚至可能会因为这些安全问题,会给项目带来毁灭性的的打击,当然也会让你痛不欲生!
276
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
