Quanto è vulnerabile il collegamento dell'app Android all'API PHP con query pre-scritte

10

Ho creato un'API PHP che interroga i dati di alcune tabelle in un database SQL online. Le credenziali con cui si connette al database vengono salvate in un altro file e caricate all'avvio. L'utente con quelle credenziali ha solo SELECTilegiledge. L'app Android si collega al collegamento e ottiene i dati, quindi l'API non ha alcun input. Le query sono pre-scritte nello script PHP. I dati nel database sono tutti pubblici, quindi se viene letto qualcosa che non è contenuto nello script non è un problema.

Quanto è vulnerabile questa configurazione a SQL Injection? (o altre minacce)

    
posta RickSanchez725 24.12.2017 - 18:12
fonte

1 risposta

15

Se non ci sono input dell'utente utilizzati per costruire le query, non c'è alcuna minaccia di SQL injection.

Questo è un buon modo per consentire a un'app Android di ottenere dati da un database condiviso. La cosa principale da considerare sono gli attacchi denial of service: un utente può effettuare chiamate ripetute all'endpoint che abbassa il servizio (e potenzialmente altre app o parti dell'app che condividono la stessa infrastruttura)? L'uso appropriato della memorizzazione nella cache e della limitazione IP lo attenuerà per la maggior parte e il monitoraggio che avvisa quando c'è un problema ti consentirà di gestire il resto secondo necessità.

L'unica altra cosa che posso pensare sono gli attacchi di applicazioni web generiche standard come avere le informazioni di debug attivate (perdite di credenziali db, nomi di file, ecc. sugli errori), slowloris e così via, ma queste non sono specifiche per la tua situazione .

    
risposta data 24.12.2017 - 20:25
fonte

Leggi altre domande sui tag