2016-03-09 101 views
0

我需要连接到特定公司的API,他们提供了一个简单的API,您可以通过简单的URL获取数据。 例如:https://example.com?user=xxx&pass=xxx&data=specificdata有没有什么办法可以防止url注入?

我的问题是:

我有获取参数,并连接到API函数:

public function urlRequest($base_url, $company_id, $user_name, $password, $parameters) { 
    if (isset($base_url) && isset($company_id) && isset($user_name) && isset($password) && count($parameters) > 0) { 
     $url = "https://$base_url?compID=$company_id&user=$user_name&pass=$password&$parameters"; 
     $response = file_get_contents($url); 
     $response = json_decode($response, true); 
     return $response; 
    } 
} 

1.Is有什么办法,我需要从URL注入保护和如果是这样,哪些功能可以与它相关? (htmlentities等...)

2.哪些字符不能在url中,我需要防范,这是类似于SQL注入?

+1

它不是你的API,你不需要对传递给它的变量做任何事情。 –

回答

0

适合保护网址,如果有cursiosas人和更改网址的ID,他们可能会看到来自其他用户的数据。

它可以保护它与md5函数PHP,我留下一个小例子。

<?php 

//Put it on a directoria safty and include it to get value. 
$clave = "4V}ee[TL&]=cA;kv-SYVg&vVKz!teJ_PW93G*u>F6z[R)]-TMeW.{~Q&Ee([email protected]]&=_sc1(jkc7p~b-d)|tNV^qR}Q^>@2"; 

//Set safety, for URL. 
$company_id = $ConDB->real_escape_string($row['company_id']);    

//Protect 'URL' for our page. 
$protectid = md5($clave.$company_id); 

//Your function. 
public function urlRequest($base_url, $company_id, $user_name, $password, $parameters) { 
    if (isset($base_url) && isset($company_id) && isset($user_name) && isset($password) && count($parameters) > 0) { 
     $url = "https://$base_url?compID=$protectid&user=$user_name&pass=$password&$parameters"; 
     $response = file_get_contents($url); 
     $response = json_decode($response, true); 
     return $response; 
    } 
} 



//To see return the outcome data, let we see how we can bring back our results with the md5 function (page: base_url) 

$id = $_GET['compID'];//GET 'ID' 'URL' with protected. 

//query 
$sql = "SELECT * FROM yourtable WHERE md5(CONCAT('$clave', company_id)) = '$id'"; 
$resultado = $ConDB->query($sql); 



?> 
相关问题