Как мне разрешить доступ к моей базе данных MySQL только из приложения iOS? (Использование веб-приложения в качестве шлюза для БД)

Моему приложению для iOS необходимо подключиться к серверу mysql. Для этого я хотел бы создать веб-приложение, которое будет выполнять роль посредника между приложениями на стороне клиента и базой данных на стороне сервера.

Меня беспокоит то, что кто-то может просто определить URL-адрес, который использует мое приложение, и передать свои собственные параметры URL-адреса, и поскольку веб-приложение не знает, отправляются ли из моего приложения iOS допустимые данные, а кто-то просто вводит правильно созданный URL-адрес из любой веб-браузер, система будет уязвимой.

Допустим, у меня есть функция PHP для пометки пользователя как «проверенного» (после того, как я отправлю ему код подтверждения по электронной почте). Это довольно стандартная вещь, но что мешает кому-то сделать такой же запрос из веб-браузера?

Конечно, пользователь, который приложение использует для выполнения запросов к базе данных, будет иметь ограниченные привилегии, поэтому остальная часть базы данных не будет подвергаться риску. Однако даже если пользователи активируют свои учетные записи из-за пределов приложения, это может привести к катастрофическим последствиям.

Вариант, о котором я подумал, - использовать https, чтобы, даже если пользователь определит URL-адрес, он не узнает пароль и не сможет его прослушать, поскольку он шифруется от начала до конца. К сожалению, https может быть дорогим для бедного студента колледжа, поэтому я хотел бы альтернативы, если таковой существует.