PHP开发接口安全

㈠ 怎么用php开发API供其他客户端调用

一、接口的分类：

1、URL类型的接口
URL
路由带参数式的接口！这个很好做！只要有过Web开发经验的人都能完成！这种接口数据不够隐蔽性，可以直接在浏览其中看到，如支付宝的交易请求URL。需
要加一个MD5签名，和服务器端的再次向支付宝服务器发送验证！虽然soap方式传递的数据隐蔽性很好!但为了数据安全，难免也需要进行数据签名。

2、SOAP类型的接口
无关编程语言、无关平台、扩展性很好，要实现一个SOAP 型的接口，有两种方式：一种有WSDL文件方式、一中无WSDL文件方式！
对
于热爱研究型的人来说,使用第一种方式可以让你清楚的了解PHP是怎么创建了一个Web
Service！但第一种对于新手来说，创建一个XML格式的WSDL文件，是比较难的，这你的先了解熟悉什么是XML！学会XML语法！但对于一个急于
解决问题的人来说！没有这么多的时间去熟悉！所以这是件烦恼的事！

二、PHP环境设置
先配置下PHP的soap环境支持：
找到php.ini文件
；extension=php_soap.dll
删除掉"；" ，重启apache服务器
为了便于测试，需要关于wsdl缓存
方式1：
配置文件：php.ini 选项 soap.wsdl_cache_enabled 设置为0
方式2：
代码头添加：ini_set('soap.wsdl_cache_enabled', "0"); //关闭wsdl缓存

三、有WSDL文件方式创建
在
这里先介绍标准的webservice。 那么如何创建wsdl呢？对于PHP来说这确实是件很不容易的事情，有人说用zend
studio创建很方便，这是一种方法。但对于那些不喜欢用zend studio的人来说，会觉得创建一个web service还要安装zend
studio，太强人所难了。
在这里介绍一个简单的方法，到网上下载SoapDiscovery.class.php类，里面有个公用方法：getWSDL，这个方法末尾是用的 return，那么，你修改一下这个方法：
//return sprintf('%s%s%s%s%s%s', $headerWSDL, $portTypeWSDL, $bindingWSDL, $serviceWSDL, $messageWSDL, '</definitions>');
//生成wsdl文件，将上面的return注释
$fso = fopen($this->class_name . ".wsdl" , "w");
fwrite($fso,
sprintf('%s%s%s%s%s%s', $headerWSDL, $portTypeWSDL, $bindingWSDL,
$serviceWSDL, $messageWSDL, '</definitions>'));
现在生成wsdl的类有了，SoapDiscovery.class.php（源码在最末尾）。

再准备一个提供服务的Service.php类文件或者函数就可以创建wsdl了!

㈡ 用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

1.请求头里带用户username和password，到服务器端做验证，通过才继续下边业务逻辑。
优点：防止了服务器端api被随意调用。
缺点：每次都交互用户名和密码，交互量大，且密码明文传输不安全。
2.第一次请求，要求username和password，验证通过，种cookie到客户端，app保存cookie值。
每次请求带上cookie。
点评：和pc上浏览器认证的原理一样了。
以上两点，只有注册用户，才能有权访问业务逻辑，而app有大量的不需要注册数据api。

㈢ php开发api接口,如何做才算是安全的

这个问题很深

安全，不敢当，因为web安全问题很多，不仅仅是PHP编码而已，有很多安全上的问题需要做处理，像服务器漏洞、端口开放都会导致被黑，这都是很正常的。

只能说 比如在我做PHP开发过程的一些安全保护和在网络安全公司开发时的工作要求：

1、最基础的，提供的api接口 要配置https。

2、api返回响应的信息，要尽可能使用消息加密返回，如高位数的 rsa加密内容。

3、接收的回调开放接口，尽可能做到使用回调黑、白名单，如加ip白名单放行，或ip黑名单禁止访问。

4、不要相信用户输入、输入信息要进行编码转换、转义、过滤、使用框架和插件进行处理，如MySQL查询的要进行参数绑定、如显示问题要避免xss攻击会进行过滤。

5、授权操作，错误限制设置阀值、超过阀值限制访问、如最基础的登录功能。

6、常见额弱口令问题导致漏铜，应设置高强度口令，避免程序爆破。

7、文件上传问题、应严格校验文件类型、后缀、格式、及文件目录权限设置，从而避免文件上传漏洞导致恶意代码或webshell攻击。

8、开发环境和生产环境隔开，不要再生产上面开debug、及时更新使用框架漏洞补丁如PHP国内常用 tp系列以前偶尔爆出漏洞（我用的较多就是tp5 ....），还有框架不要用最新要选择最稳定的。

最后注意不管是验证还是过滤，在客户端执行过一次也好，在服务端，都要再次执行验证和校验。

和盛之文 我的文章保存网站，欢迎访问学习或参考

㈣ 请教一个用php为app做接口的问题如何保证安全性

一般做app开发都需要后端和前端做签证，就是所谓的借口暗号，跟https协议很类似兄衫，前端发送数据带上签证，后端接受处理羡颂腔，樱段对上了就可以使用。手机打字不太方便，大致是这样

㈤ 微信小程序验证码登录php开发哪些接口

微信小程序验证码登录 php开发需要实现以下接口：

1. 获取验证码接口（api/captcha.php）：当用袭配户在悔哗小程序输入手机号码并点击获取验证码的按钮时，小程序需要向后台发送请求以获取验证码。在该接口中，需要通过 PHP 随机生成 6 位数字验证码、记录验证码和手机号的对应关系，并将验证码返回给小程序。

2. 校验手机号和验证码接口（api/login.php）：当用户在小程序输入手机号和验证码，并点击“登录”按钮时，小程序会向服务器发送请求，以确认用户输入是否正确。在该接口中，碧禅行需要首先校验用户手机号和验证码是否匹配，如果校验通过，需要生成一个 Token（例如使用 JWT），并把 Token 返回给小程序。

3. Token 验证接口（api/check_token.php）：当用户在小程序访问需要登录才能访问的页面时，小程序需要携带 Token 发送请求至后台。在该接口中，需要验证 Token 的有效性，如果 Token 未过期且符合要求，则返回信息给小程序。

上述三个接口是验证码登录的基本实现接口，建议在实现时，添加必要的安全校验措施，比如防止恶意攻击、防止 SQL 注入等。

㈥ php漏洞怎么修复

近日，我们SINE安全对metinfo进行网站安全检测发现，metinfo米拓建站系统存在高危的sql注入漏洞，攻击者可以利用该漏洞对网站的代码进行sql注入攻击，伪造恶意的sql非法语句，对网站的数据库，以及后端服务器进行攻击，该metinfo漏洞影响版本较为广泛，metinfo6.1.0版本，metinfo 6.1.3版本，metinfo 6.2.0都会受到该网站漏洞的攻击。

metinfo建站系统使用的PHP语言开发，数据库采用的是mysql架构开发的，在整体的网站使用过程中，简单易操作，可视化的对网站外观进行设计，第三方API接口丰富，模板文件较多，深受企业网站的青睐，建站成本较低可以一键搭建网站，目前国内使用metinfo建站的网站数量较多，该metinfo漏洞会使大部分的网站受到攻击影响，严重的网站首页被篡改，跳转到其他网站，以及网站被劫持跳转到恶意网站上，包括网站被挂马，快照被劫持等情况都会发生。

关于该metinfo漏洞的分析，我们来看下漏洞产生的原因：

该漏洞产生在member会员文件夹下的basic.php代码文件：

metinfo独有的设计风格，使用了MVC框架进行设计，该漏洞的主要点在于使用了auth类的调用方式，在解码加密过程的算法中出现了问题，我们再来看下代码：

通常加密，以及解密的算法是不可以可逆的，但是metinfo写的代码可以进行伪造函数值进行逆算，我们看这个构造的恶意函数，这里的key值是从前端met_webkeys值里进行获取，将获取到的webkeys值进行写入，并赋值到配置文件里，config目录下的config_safe.php代码里。我们通过查看这个代码，发现写入的值没有办法进行PHP脚本的执行，本来以为可是伪造key值进行写入木马，发现行不通，但是在这个伪造key值的过程可以进行sql注入攻击，采用是延时注入方式进行

关于metinfo漏洞的修复建议，以及安全方案

目前metinfo最新版本发布是2019年3月28日，6.2.0版本，官方并没有针对此sql注入漏洞进行修复，建议网站的运营者对网站的后台地址进行更改，管理员的账号密码进行更改，更改为数字+字符+大小写的12位以上的组合方式，对网站的配置文件目录进行安全限制，去掉PHP脚本执行权限，如果自己对代码不是太熟悉，建议找专业的网站安全公司来处理修复漏洞，国内SINE安全，以及绿盟，启明星辰，都是比较不错的网站漏洞修复公司。

㈦ 用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做

一般的处敏亮租理是 访问链接url是这样子的 http://www.xxx.com/api1.0/name/do 这样的形式

然后后面get方式加上参数？hash= md5(url.time()) url和时间戳或者一个时间格式拼接起来，md5加密一下，传键毕到服务器，服务器判桥兆断是这样形式就可以的