AMFPHP基本安全问题

http://hi.baidu.com/needyu/blog/item/8bb68c18b765c3b34aedbcb2.html

 

原文：http://theflashblog.com/?p=419

1. 删除Service Browser
因为对你有用的服务和方法对其他任何来说也一样能用，很明显，为此你需

要在你的产品机上删除它。最简单的就是删除位于AMFPHP根目录的Browser

文件夹

2.删除DiscoveryService 服务
DiscoveryService 服务再你安装AMFPHP的时候就被包含进来，这个服务会暴

露所有有效的服务和方法的详细信息，为了安全期间，整个删除AMFPHP/services文件夹

下的amfphp目录或者只删除DiscoveryService.php文件

3.设置PRODUCTION_SERVER属性
PRODUCTION_SERVER属性位于根目录AMFPHP下的gateway.php中，默认值是

false，在产品机上应该设置为true，这样它会禁止一些类似远程开发调试的

头信息的东西。

4.如果可能的通过SSL来运行服务
通过SSL，flash和php之间的数据交换将是加密传输的，让sniff很难发现真

实的数据。

5.使用beforeFilter进行认证
在AMFPHP 1.9版本增加了一个新特色，让你能够认证调用者是否有访问服务

的权限。在你的服务类里添加一个叫做“beforFilter”的方法：

public function beforeFilter($function_called)

这个函数在客户端调用服务端方法的时候呗调用，如果返回true，方法将被

执行，返回false，则抛出一个错误，在这个方法里你可以做一些认证逻辑。

这方面Joshua Ostrom写了一篇很不错的博客：

http://www.joshuaostrom.com/2008/06/03/securing-amfphp-19-via-authentication/

6.PHP的基本安全
AMFPHP毕竟是使用PHP的，务必了解一些基本的PHP安全方面的知识，比如如

何放置SQL注入等。关于这方面，推荐阅读“Essential PHP Security ”