Discussion :

[shirohige]

Bonjour,

Mon application devra pouvoir stocker le score qu'un joueur à fait, dans ma base de données. Je voudrais procéder de la façcon suivante.

-Mon application appelle une url avec en paramètre le score, un identifiant et un mot de passe (id et mdp seront les miens).

-Le script php vérifie l'id et le mdp et met le score dans la bdd. (il y aura juste une vérif, se sera juste les 100 premiers meilleurs scores).

-Un script génère ensuite au format JSON la table des 100 meilleurs joueurs.

-Je récupère dans mon applis la liste de mes 100 meilleurs joueurs.

-J'affiche \o/.

Le premier problème c'est au niveau de la sécurité. Je ne sais pas si un utilisateur peut examiner mon appli et trouver l'url avec donc le mdp et l'id en dur. Je voudrais passer par cette méthode histoire de toucher à tout lol mais peut-etre que communiquer directement avec ma bdd (si c'est possible) serait plus simple et plus sur.

Merci.

[nicroman]

Sans regarder dans l'appli, il suffit de "sniffer" les connexions sortantes, et regarder ce qu'il passe dessus...

Utiliser SSL pour sécuriser est donc nécessaire (https quoi !)

Ensuite mot-de-passe + login n'est pas forcément nécessaire... et en plus, même chiffré, un "man in the middle" pourrait récupérer la valeur et la réutiliser telle quelle.



Pour sécuriser un "minimum", l'appli doit par exemple chiffer un token (avec une clé publique par exemple) par exemple avec une date de création, et un "payload" aléatoire par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

String clearToken = Long.toHexString(rand.nextLong())+"-" + Long.toHexString(System.currentTimeMillis());

Du coté PHP on décode le token (avec la clé privée), on cherche le "-", et on vérifie que la valeur après correspond bien à une date < quelques secondes à maintenant.