我很想知道允许 Web 开发人员在为我的网站构建服务时使用 PHP 是否可以接受。如果这是简化的且过于安全,那么这样做是否安全?
这是一个示例:
某人正在构建 Web 应用程序,并且需要访问该网站的用户(存储在 MySQL 数据库表中)。如何获取MySQL表结果?那么,他可以使用PHP(或AJAX)来获取变量。如果您为他设置一些带有过度安全的类的简化类,他应该能够轻松获取这些变量。
现在,我想知道的是,在我的网站上使用互联网上的随机 PHP 功能是否安全。我不认识这个人,也不会真正见到他们,但他们需要为我的网站创建内容,我想确保这样做没有安全风险。
提前致谢。
最佳答案
在 native 代码中不建议允许第三方访问您的网站 - 不要写入文件,也不要写入数据库。这是一个安全风险,而且是不明智的。
解决此类问题的最佳解决方案是为网站编写 API:
例如,他们需要访问用户列表,因此编写一个只读( key 锁定)API 来提供用户列表并且可搜索
用 key 锁定意味着您可以限制调用、记录谁调用了什么、调用了多少,还可以撤销访问权限。
例如。他们会打电话yoursite/api/getusers?name=john&key=mykey
并获取包含所有约翰等的列表。
这样您的数据库就会保持安全,并且外部代码无法在您的站点/服务器上运行。
关于php - 授予开发人员使用 PHP 公开访问表的权限是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28576190/