¿Qué tan vulnerable es la conexión de la aplicación de Android a la API de PHP con consultas escritas previamente?

10

He construido una API de PHP que consulta datos de algunas tablas en una base de datos SQL en línea. Las credenciales con las que se conecta a la base de datos se guardan en otro archivo y se cargan al inicio. El usuario con esas credenciales tiene privilegios SELECT solamente. La aplicación de Android simplemente se conecta al enlace y obtiene los datos, por lo que la API no tiene ninguna entrada. Las consultas se escriben previamente en el script PHP. Los datos en la base de datos son todos públicos, por lo que si se lee algo más que no está en el script, no es un problema.

¿Qué tan vulnerable es esta configuración a la inyección SQL? (u otras amenazas)

    
pregunta RickSanchez725 24.12.2017 - 18:12
fuente

1 respuesta

15

Si no se usan las entradas del usuario para construir las consultas, no hay amenaza de inyección SQL.

Esta es una forma razonablemente buena de permitir que una aplicación de Android obtenga datos de una base de datos compartida. Lo primero en lo que hay que pensar son los ataques de denegación de servicio: ¿puede un usuario hacer llamadas repetidas al punto final que interrumpa el servicio (y potencialmente otras aplicaciones o partes de la aplicación que comparten la misma infraestructura)? El uso adecuado del almacenamiento en caché y la limitación de IP lo mitigará en su mayor parte, y el monitoreo que le avisa cuando hay un problema le permitirá lidiar con el resto según sea necesario.

La única otra cosa que puedo pensar son los ataques de aplicaciones web genéricas estándar, como tener activada la información de depuración (filtrar db credenciales, nombres de archivos, etc. en los errores), slowloris, etc., pero estos no son específicos de su situación .

    
respondido por el Xiong Chiamiov 24.12.2017 - 20:25
fuente

Lea otras preguntas en las etiquetas