保护 PhoneGap 中的 SQLite 数据库

Question

我已经开发了具有数据库创建功能的 phoneGap 应用程序，并且我能够通过使用数据库实例来访问每个页面中的数据库 所以在这里我不知道如何保护数据库免受他人的侵害，因为任何知道数据库名称和版本的人都可以访问我的数据库

<!DOCTYPE html>
<html>
  <head>
    <title>Storage Example</title>
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <script type="text/javascript" charset="utf-8" src="js/cordova.js"></script>
    <script type="text/javascript" src="js/jquery.js"></script>
    <script type="text/javascript" charset="utf-8">

    // Wait for device API libraries to load
    document.addEventListener("deviceready", onDeviceReady, false);

      var db;
    // Populate the database
    function populateDB(tx) {
        alert('Table DEMO will be created');
        tx.executeSql('DROP TABLE IF EXISTS DEMO');
        tx.executeSql('CREATE TABLE IF NOT EXISTS DEMO (id unique, firstname, lastname)');
        tx.executeSql('INSERT INTO DEMO (id, firstname, lastname) VALUES (1, "Surinaidu", "Majji")');
        tx.executeSql('INSERT INTO DEMO (id, firstname, lastname) VALUES (2, "Sarath", "Upadrista")');
        tx.executeSql('INSERT INTO DEMO (id, firstname, lastname) VALUES (3, "Yaseen", "shaik")');
        tx.executeSql('INSERT INTO DEMO (id, firstname, lastname) VALUES (4, "Yogesh", "Tavaki")');
    }

    // Query the database
    function queryDB(tx) {
        tx.executeSql('SELECT * FROM DEMO', [], querySuccess, errorCB);
    }

    // Query the success callback
    function querySuccess(tx, results) {
        var htmlString = '';
        var len = results.rows.length;
        alert("No of rows in the table " + len);

        for(var i=0; i<len; i++) {
        htmlString += '<li>' + results.rows.item(i).id +  " " + results.rows.item(i).firstname + "  " + results.rows.item(i).lastname + '<br/>' + '</li>';
        }
        $('#listview').html(htmlString);
        // for an insert statement, this property will return the ID of the last inserted row
        console.log("Last inserted row ID = " + results.insertId);
    }

    // Transaction error callback
    function errorCB(err) {
        console.log("Error processing SQL: "+err.code);
    }

    // Transaction success callback
    //
    function successCB() {
        alert('successed');
        db.transaction(queryDB, errorCB);
    }

    // device APIs are available
    //
    function onDeviceReady() {
        alert("Database has been started");
        db = window.openDatabase("Database", "1.0", "Cordova Demo", 200000);
        alert(db);
        db.transaction(populateDB, errorCB, successCB);
        return false;
    }
    </script>
  </head>
  <body bgcolor="yellow">
    <h1>Example</h1>
    <p>Database</p>
    <br />
    <a href="http://www.google.com" >Go to Google page</a>
    <ul id="listview"></ul>
  </body>
</html>

同样的东西可以复制到其他页面并可以访问数据，我认为这很奇怪，因为这里很多人下载相同的应用程序和相同的数据库实例， 那么我们如何保护自己的数据不被其他人访问。

Answer 1

通常，您的软件用户比您拥有更多控制 sqlite 数据库的权利。您的软件只是他机器上的访问者。任何形式的加密都是security though obscurity，因为您不能在设备上拥有秘密（或密钥）。

最后，如果你想保护一个数据库，那么你必须托管它。我建议设置一个RESTFUL接口，以便移动设备上的js可以对数据执行操作。您应该假设攻击者对这个 RESTFUL 接口有 100% 的访问权限。你永远不应该暴露像do_query("select ..."); 这样的函数。确保考虑到 sql 注入。如有任何疑问，请告诉我。