1. 删除Service Browser
因为对你有用的服务和方法对其他任何来说也一样能用,很明显,为此你需
要在你的产品机上删除它。最简单的就是删除位于AMFPHP根目录的Browser
文件夹
2.删除DiscoveryService 服务
DiscoveryService 服务再你安装AMFPHP的时候就被包含进来,这个服务会暴
露所有有效的服务和方法的详细信息,为了安全期间,整个删除AMFPHP/services文件夹
下的amfphp目录或者只删除DiscoveryService.php文件
3.设置PRODUCTION_SERVER属性
PRODUCTION_SERVER属性位于根目录AMFPHP下的gateway.php中,默认值是
false,在产品机上应该设置为true,这样它会禁止一些类似远程开发调试的
头信息的东西。
4.如果可能的通过SSL来运行服务
通过SSL,flash和php之间的数据交换将是加密传输的,让sniff很难发现真
实的数据。
5.使用beforeFilter进行认证
在AMFPHP 1.9版本增加了一个新特色,让你能够认证调用者是否有访问服务
的权限。在你的服务类里添加一个叫做“beforFilter”的方法:
public function beforeFilter($function_called)
这个函数在客户端调用服务端方法的时候呗调用,如果返回true,方法将被
执行,返回false,则抛出一个错误,在这个方法里你可以做一些认证逻辑。
6.PHP的基本安全
AMFPHP毕竟是使用PHP的,务必了解一些基本的PHP安全方面的知识,比如如
何放置SQL注入等。关于这方面,推荐阅读“Essential PHP Security ”
