![]() |
|
||||||||||
|
|||||
|
Регистрация: Jun 2009
Сообщений: 40
|
Такая ситуация. Есть флеш приложение, которое вызывает некоторые php скрипты(передает в них нужные данные через POST), которые в свою очередь делают запросы в mysql, и генерируют xml. На сколько я понимаю, проблем скачать и декомпилировать приложение ничего не стоит, а защиты как таковой нету(юзал поиск). Скачали, декомпилировали, и теперь ничего не мешает из своего приложения вызвать те же скрипты и изменить базу. Как можно защититься от такого?)
|
|
|||||
|
Et cetera
Регистрация: Sep 2002
Сообщений: 30,787
|
Паролем.
|
|
|||||
|
Регистрация: Jun 2009
Сообщений: 40
|
Поясните.
|
|
|||||
|
Et cetera
Регистрация: Sep 2002
Сообщений: 30,787
|
Приложение запрашивает пароль, отправляет скрипту, скрипт сверяет, создаете сессию или чего-нибудь в этом духе и работаем. Флеш не более чем интерфейс, с тем же успехом можно формочек наделать и тоже обращаться к скриптам. Если вы скриптам отправляете SQL-запрос, то я могу только посочувствовать.
|
|
|||||
|
Регистрация: Jun 2009
Сообщений: 40
|
Нет, я скриптам отправляю имена методов с параметрами, а скрипты уже делают скл запросы. Без пароля никак иначе не сделать?
|
|
|||||
|
А чем вам так пароль не нравится?
|
|
|||||
|
Регистрация: Jun 2009
Сообщений: 40
|
Не совсем понял на счет пароля. Если приложение запрашивает пароль, то оно будет запрашивать его у каждого пользователя. А если пользователи знают пароль, то что им мешает декомпилировать приложение, и обращатся к скриптам просто вводя пароль?)
|
|
|||||
|
Et cetera
Регистрация: Sep 2002
Сообщений: 30,787
|
Ну если они знают пароль, значит и права на изменение базы у них есть.
Если вы не хотите изменений базы, тогда не давайте никаких средств для изменения. Флеш или нет — без разницы. |
|
|||||
|
Регистрация: Jun 2009
Сообщений: 40
|
Ладно...сформируем мыслю иначе. Я не хочу чтобы мои скрипты вызывались из не моего приложения.
|
|
|||||
|
Регистрация: Jul 2007
Сообщений: 5
|
Флеш, как только загрузился, уже так или иначе находится на стороне клиента, а значит иметь больше прав, чем сам пользователь, его скачавший, не может. Все равно, что картинка. Представьте: картинка указана в атрибуте html-тэга <img>. И надо, чтобы браузер ее вывел, а пользователь, вбивший адрес картинки из src напрямую в адресную строчку - нет.
Если нужно что-то спрятать - прячьте на стороне сервера. Со стороны клиента: только отправка-получение. |
![]() |
![]() |
Часовой пояс GMT +4, время: 09:11. |
|
|
« Предыдущая тема | Следующая тема » |
|
|