AMFPHP基本安全问题_新长征路上的游魂_百度空间

AMFPHP基本安全问题

2008-11-09 20:58

原文:http://theflashblog.com/?p=419

1. 删除Service Browser
因为对你有用的服务和方法对其他任何来说也一样能用,很明显,为此你需

要在你的产品机上删除它。最简单的就是删除位于AMFPHP根目录的Browser

文件夹

2.删除DiscoveryService 服务
DiscoveryService 服务再你安装AMFPHP的时候就被包含进来,这个服务会暴

露所有有效的服务和方法的详细信息,为了安全期间,整个删除AMFPHP/services文件夹

下的amfphp目录或者只删除DiscoveryService.php文件

3.设置PRODUCTION_SERVER属性
PRODUCTION_SERVER属性位于根目录AMFPHP下的gateway.php中,默认值是

false,在产品机上应该设置为true,这样它会禁止一些类似远程开发调试的

头信息的东西。

4.如果可能的通过SSL来运行服务
通过SSL,flash和php之间的数据交换将是加密传输的,让sniff很难发现真

实的数据。

5.使用beforeFilter进行认证
在AMFPHP 1.9版本增加了一个新特色,让你能够认证调用者是否有访问服务

的权限。在你的服务类里添加一个叫做“beforFilter”的方法:

public function beforeFilter($function_called)

这个函数在客户端调用服务端方法的时候呗调用,如果返回true,方法将被

执行,返回false,则抛出一个错误,在这个方法里你可以做一些认证逻辑。

这方面Joshua Ostrom写了一篇很不错的博客:

http://www.joshuaostrom.com/2008/06/03/securing-amfphp-19-via-authentication/

6.PHP的基本安全
AMFPHP毕竟是使用PHP的,务必了解一些基本的PHP安全方面的知识,比如如

何放置SQL注入等。关于这方面,推荐阅读“Essential PHP Security ”

发表评论

电子邮件地址不会被公开。 必填项已用*标注