php - "call"一个 php 文件的最安全方法

Question

我正在为我的客户创建一个应用程序以添加到他们的网页中。但是，我正在托管存储此应用程序信息的数据库。我想做的就是在我的服务器上进行所有查询，然后以某种方式将 $var 传递给他们的服务器。所以我想的是让我的 PHP 页面和所有 MYSQL 凭据存储在我的服务器上，并给他们一个调用该页面并输出内容的代码，比如

require_once('192.163.163.163/config.php');

但我敢打赌这是执行此操作最不安全的方法。我不想让任何人访问中央数据库，我正在处理所有请求。你们有什么建议可以让我从我的数据库中提取数据并在不打开任何门的情况下将其传递到 $var 中的服务器吗？

Answer 1

如果您负担不起泄露您的数据库凭据或系统的其他内部详细信息，但您需要客户端能够从您那里读取数据，那么唯一真正安全的方法就是将您的系统设置为客户端可以调用的API。

不要试图将两个系统合并到一个应用程序中；它会打开无法关闭的孔。

原则上，创建 API 相当简单。只需创建一套接受一组预定义参数的普通 PHP 程序，以预定义格式返回数据，调用程序可以轻松处理这种格式——例如，可能是 JSON 结构。

然后客户端将通过 HTTP 调用简单地调用您的系统。他们永远不需要看你的代码；他们不需要托管在同一台服务器上，他们甚至不需要使用与您相同的语言编写系统。

除此之外还有很多 - 当然，编写不安全的 API 也非常容易，您需要阅读有关如何编写良好的 API 以避免此类事情的信息-- 但那是你的起点。希望对您有所帮助。