我必须通过发布请求(使用Flash Uploader)提交用户会话ID。 项目基于Zend Framework。
现在我不确定我的实施是否“安全”:
查看
var session = "<?= Anon_SimpleCrypt::encrypt(Zend_Session::getId(), 'SOME_KEY'?>";
控制器:
$sessionId = $_POST['SESSION_ID'];
$sessionId = Anon_SimpleCrypt::decrypt($sessionId, 'SOME_KEY');
Zend_Session::setId($sessionId);
加密/解密:
public static function encrypt($value, $encryptionKey)
{
$result = '';
$encryptionKey = $encryptionKey . self::getSalt($value);
for ($count = 0; $count < strlen($value); $count++) {
$char = substr($value, $count, 1);
$keychar = substr($encryptionKey, ($count % strlen($encryptionKey)) - 1, 1);
$char = chr(ord($char) + ord($keychar));
$result.=$char;
}
return base64_encode($result);
}
public static function decrypt($value, $encryptionKey)
{
$result = '';
$value = base64_decode($value);
$encryptionKey = $encryptionKey . self::getSalt($value);
for ($i = 0; $i < strlen($value); $i++) {
$char = substr($value, $i, 1);
$keychar = substr($encryptionKey, ($i % strlen($encryptionKey)) - 1, 1);
$char = chr(ord($char) - ord($keychar));
$result.=$char;
}
return $result;
}
答案 0 :(得分:0)
您无需加密会话ID。只需以纯文本发送即可。会话ID通常以未加密的形式存储在客户端的cookie中,这也不例外。此外,如果有人获得加密的会话ID,他们仍然可以使用会话,因为无论如何你在服务器上解密它。