Безопасность Android: сохранение частной строки

Question

У меня есть конкретный вопрос для безопасности Android.

Во-первых, я плохо описал свою проблему: Я хочу подключиться к базе данных через PHP. Но каждый может извлечь ссылку из моего apk, которую я использую для подключения к файлу PHP. Это приводит к проблеме: каждый может манипулировать моей базой данных, просто позвонив по этой ссылке. Я хочу предотвратить SQL Injection.

Я ищу решение этой проблемы. Моей первой идеей и, вероятно, самым простым было создание полностью частной строки, которая используется для аутентификации доступа к файлу PHP. Но я понятия не имею, как я могу сохранить такую ​​String, не рискуя получить извлечение из кода (например, whit the Strings.xml или просто написать его в моем коде). Есть ли простой способ сделать String полностью закрытым в моем APK (чтобы никто не смог его извлечь)? Или у кого-нибудь еще лучшее решение?

Answer 1

Нет реальной защиты от обратного проектирования вашего приложения и выяснения «секретного» URL-адреса.

Я рекомендую вам защитить этот URL с какой-либо аутентификацией пользователя. url должен быть защищен независимо от того, какой клиент пытается получить к нему доступ.

Answer 2

Все, что хранится в клиенте, может быть восстановлено/подделано/и т. Д. Перед запуском команд с базой данных необходимо, чтобы клиент аутентифицировался на сервере.

Вам необходимо защитить вашу базу данных от несанкционированного доступа. Сейчас кажется, что вы используете «безопасность через безвестность», просто скрывая URL-адрес. Это плохая практика. Это только вопрос времени, пока кто-то не найдет того, кого вы не хотите найти. Это даже не требует обратной инженерии, а просто взглянет на журналы маршрутизаторов.

Кроме того, SQL injection - это когда кто-то вводит вредоносный код в SQL-запрос, созданный кодом, который не выполняет его надлежащую дезинфекцию. Эта атака работает внутри аутентифицированного сеанса. Это то, что вам нужно также следить, но это не тот риск, который вы описали в вопросе.