Wie kann ich von meiner iOS-App aus nur auf meine MySQL-Datenbank zugreifen? (Verwendung von Webapp als Gateway zu DB)

Meine iOS-App muss eine Verbindung zu einem MySQL-Server herstellen. Zu diesem Zweck möchte ich eine Webanwendung erstellen, die als Vermittler zwischen den clientseitigen Apps und der serverseitigen Datenbank fungiert.

Ich mache mir Sorgen, dass jemand einfach die URL herausfinden kann, die meine App verwendet, und seine eigenen URL-Parameter übergeben kann - und da die Web-App keine Ahnung hat, ob legitime Daten von meiner iOS-App gesendet werden, muss jemand die richtig gestaltete URL von eingeben In jedem Webbrowser ist das System anfällig.

Angenommen, ich habe eine PHP-Funktion, um einen Benutzer als "verifiziert" zu markieren (nachdem ich ihm einen E-Mail-Bestätigungscode gesendet habe). Das ist ziemlich normal, aber was hindert jemanden daran, die gleiche Anfrage über einen Webbrowser zu stellen?

Natürlich hat der Benutzer, mit dem die App Datenbankabfragen durchführt, eingeschränkte Berechtigungen, sodass der Rest der Datenbank nicht gefährdet ist. Es wäre jedoch katastrophal, wenn Benutzer ihre Konten auch von außerhalb der App aktivieren würden.

Die Option, an die ich gedacht habe, war die Verwendung von https, sodass der Benutzer das Kennwort selbst dann nicht kennt, wenn er es herausfindet, und es nicht finden kann, da es von Anfang bis Ende verschlüsselt ist. Leider kann https für einen armen Studenten teuer sein, daher würde ich mir eine Alternative wünschen, falls es eine gibt.