web-dev-qa-db-ja.com

脆弱性の接続方法Android App to PHP API with prewritten querys

オンラインSQLデータベースのいくつかのテーブルからデータをクエリするPHP APIを構築しました。データベースに接続するための資格情報は別のファイルに保存され、起動時にロードされます。ユーザーAndroidアプリはリンクに接続してデータを取得するだけなので、APIにはまったく入力がありません。クエリはPHPスクリプトデータベースのデータはすべて公開されているので、スクリプトにないものを読んだとしても、それほど問題にはなりません。

この設定はSQLインジェクションに対してどの程度脆弱ですか? (または他の脅威)

10
RickSanchez725

クエリの構築に使用されるユーザー入力がない場合、SQLインジェクションの脅威はありません。

これは、Androidアプリが共有データベースからデータを取得することを許可するのに適した良い方法です。考えるべき主なことは、サービス拒否攻撃です-1人のユーザーがサービスを停止するエンドポイント(および同じインフラストラクチャを共有する可能性のある他のアプリまたはアプリの一部)?キャッシングとIPスロットリングの適切な使用により、ほとんどの場合これを軽減し、問題が発生したときにアラートを監視することで、必要に応じて残りを処理します。

他に考えられる唯一のことは、デバッグ情報をオンにする(db資格情報、ファイル名などをエラーで漏らす)、slowlorisなどの標準的な一般的なWebアプリケーション攻撃ですが、これらは状況に固有のものではありません。