cURL 스크립트를보다 안전하게 만들려면 어떻게해야합니까?

Question

좋아, 얘들 아, 생각하고 생각하고 생각했는데 이제는 아이디어가 없어서 ...

그래서이 워드 프레스 플러그인은 내 서버의 SQL DB에서 고객 정보를 가져 왔으며, cURL을 통해.

그래서이 일어나는 것이다 :

내 사이트에서 플러그인이 MySQL을 (AUTO_INCREMENT)에서 생성 된 고유 ID를 가지고 다운로드 각 사용자. 이 ID는 다운로드시 플러그인에 저장됩니다. 그런 다음 플러그인은이 ID를 사용하여 행을 선택하고 cURL을 사용하여 내 서버의 내 데이터베이스에서 정보 (감각 정보)를 가져옵니다.

1)의 고유 ID가는 preg_match이 게시에서 실행되는 대상 페이지에 $_POST 'ED (my_curl.php)

2)입니다 :

그래서, 여기가 정보를 가져 오는 방법 ID를 사용하면 어리석은 SQL 삽입을 방지 할 수 있습니다.

3.) 행을 선택하고 정보를 가져옵니다.

4. DB에서 가져온 정보는 JSON ENCODE를 가져옵니다.

이제 누구 단지 플러그인 파일에 가서 할 수있는이 :

플러그인의 자신의 사본이 ID에 할당 된 경우 : 21645875457

그들이 가서 최대 하나에 해당 ID를 변경 또는 아래 : 21645875458 또는 21645875456.

그들은 다음 플러그인을 실행하고 그들은

는 사람이를 방지하기 위해 몇 가지 제안을 마련 할 수 .... 누군가가 sensetive 정보를 elses 참조하십시오. 나는 불가능에 가깝다는 것을 알고 있지만, 뭔가 있어야 할 것입니다. 그렇죠?

플러그인에서 컬 타겟으로 정보를 더 보내면 사악한 사람이 간단히 변경할 수 있습니다.

DB에있는 정보의 또 다른 부분은 플러그인이 할당 된 도메인입니다.

현재 도메인 ($_SERVER['HTTP_HOST'])을 cURL 페이지에 게시하고 ID로 확인하도록했습니다 (도메인이 ID와 동일한 행에 있는지 확인).

그들이 ID 및 도메인가에서 정보를 도용하려는하지만 난 더 안전한 뭔가가 필요를 알아야합니다으로 공격자 어렵게 만들 것

...

Answer 1

하는 쉬운 방법을 늘 entrophy ID를 - 투 - 정보 매핑의을 (또는 제안으로, ID 및 호스트 - 투 - 고객 매핑)입니다 하지 사용 순차적 아이디로 에, 예를 들어 생성 된 UUID과 같이 좀 더 복잡한 것을 할당하십시오.

Answer 2

당신은 '암호'를 생성 할 수

(즉, 임의의 문자열)을 플러그인 디렉토리에 저장합니다. 또한 '암호'를 데이터베이스에 저장하십시오. 이제 어떤 사람이 sensetive 데이터에 액세스하려고 할 때마다 ID뿐만 아니라 비밀번호도 제공해야합니다. 분명히 일치해야합니다. (: