使用php页面提供XML的数据库安全性

我刚刚创建了一个PHP页面，它以XML格式从数据库中输出一些数据。这些数据是从我制作的flex应用程序中获取的

我花了很长时间格式化我的表和数据库信息，不希望任何人能够简单地键入www.mysite.com/page，然后吐出XML.php并窃取我的数据。但是，同时我需要能够从我的flex应用程序访问此页面

---

有没有办法阻止其他人这样做？谢谢大家!

您正在使用Flex的HTTPService对象吗

一些一般的想法

• 在web服务上创建会话或Cookie身份验证方案

• 添加Flex传递给XMLWeb服务的某种类型的API密钥，这将提供一种基本的保护（尽管它很容易被检测到，并且由于在postdata中可见，在安全性方面没有提供太多）

• 使用类似HTTP基本身份验证的方法：

---

让你的flex应用程序发送一个密钥（散列或其他），然后让你的PHP检查访问它的人是否有正确的密钥。可能希望使用POST请求隐藏您发送的内容。这不是超级安全，但那是我的两分钱

唯一真正能让数据窃贼慢下来的是加密，确保你的flex应用程序被混淆了，并且其中存储的密钥和加密函数既不可猜测，也不容易提取

---

这是你能做的最好的了，但这不是我通常推荐的解决方案。如果有人真的想要这些数据，他们会得到这些数据。

您需要设置身份验证。Flex应用程序将HTTP POST数据（通常是用户名和密码）发送到服务器，PHP应用程序在服务器上检查帐户是否存在，如果存在，则设置会话。每当访问一个文件（比如输出xml.php的页面）时，php文件都会检查会话中的帐户是否具有查看该数据的权限

---

这将与当今大多数登录系统一样防弹。

这需要多安全？足以阻止一个临时用户在网站上跌跌撞撞，或是什么防弹的东西吗？@各位，请继续投票，不要质疑我写的东西，也不要提供更好的解决方案。太有建设性了！我没有投反对票，但你的建议是错误的。混淆永远不是解决办法。攻击者可以监视http流量并从中提取密钥。这根本不会让他慢下来。密钥应该在程序中，不是以明文的形式存储在那里，而是以生成它的几行代码的形式存储在那里，然后由一个模糊程序进一步混合。然后，攻击者必须对程序进行反编译或在调试器中运行程序，以了解内部发生的情况。但我认为我们普遍同意，这不是一个真正的解决方案，只是一个小障碍。嘿，电子商务，你的评论可能是最好的解决方案。我很可能必须将数据作为XML文件存储在flex程序本身内部，并同时避免HTTPservice请求（因为显然，对于HTTPservice请求，您仍然可以通过通用浏览器调试器看到flex应用程序的XML输出，而这正是我试图避免的）。谢谢你的帮助！