PHP中的双向加密模糊ID?

时间:2015-10-21 09:41:26

标签: php url encryption hash

构建一个PHP网站,其URL结构如下:

http://www.domain.com/list/X/

X可以是1到50米之间的任何整数(我们拥有的记录数)。

由于网站的性质,内部需要通过增加URL来使人们难以自动提取数据:

http://www.domain.com/list/1/
http://www.domain.com/list/2/
http://www.domain.com/list/3/
...
http://www.domain.com/list/50000000/

所以我想用某种随机字符串替换X,然后在后台进行内部查找以检索记录整数ID。

我最初想到的是构建一个50米行的表,将整数映射到一个随机的12个字符的字符串。

但为了提高效率,我考虑将整数附加到私钥,对其进行加密并使用加密字符串代替X。然后我只需要解密字符串来检索整数。

任何人都可以推荐一种方法在PHP中执行此操作:

1)快速
2)生成URL友好的字符
3)结果是一个简短的字符串

我不关心水密安全(它只是为了阻止爱好者)。

谢谢!

3 个答案:

答案 0 :(得分:4)

不要过度复杂化。您当前的ID是 guessable ,通过将其替换为 unguessable ID来修复它。通过生成真正随机的数字,您可以得到不可篡改的ID;不会混淆现有的非随机数。 UUIDs非常适合此目的。只需在记录表中添加一个新列,该列存储这样的UUID;甚至可以考虑直接用UUID替换你的整数ID。

PECL提供uuid package,但也有其他纯PHP实现 您也可以简单地从openssl_random_pseudo_bytesbin2hexbase64_encode生成随机值。

答案 1 :(得分:1)

  

由于网站的性质,内部需要通过增加网址来让人们难以自动提取数据

最重要的是,使用访问控制和速率限制。

  

我最初想到的是构建一个50米行的表,将整数映射到一个随机的12个字符的字符串。

好主意。我强烈推荐。

  

但为了提高效率,我考虑将整数附加到私钥,加密并使用加密字符串代替X

不仅效率不高,而且还会增加应用程序的攻击面,而且收益甚微。请阅读the comprehensive guide to encrypting URL parameters以获取详细说明。

答案 2 :(得分:-2)

编辑:不要使用这是不安全的

我过去曾经使用过这个,我想我最初是在stackoverflow的某个地方找到的。

class EncryptClass
{
    private $crypt_password;# = 'SOME PASSWORD';
    private $crypt_salt = 'SOME SALT';


    public function password($pWord)
    {
        $this->crypt_password = $pWord;
    return true;
    }

    public function encrypt($decrypted) 
    { 
        $pass = $this->crypt_password;
        $salt = $this->crypt_salt;

        // Build a 256-bit $key which is a SHA256 hash of $salt and $password.
        $key = hash('SHA256', $salt . $pass, true);
        // Build $iv and $iv_base64.  We use a block size of 128 bits (AES compliant) and CBC mode.  (Note: ECB mode is inadequate as IV is not used.)
        srand(); $iv = mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_CBC), MCRYPT_RAND);
        if (strlen($iv_base64 = rtrim(base64_encode($iv), '=')) != 22) return false;
        // Encrypt $decrypted and an MD5 of $decrypted using $key.  MD5 is fine to use here because it's just to verify successful decryption.
        $encrypted = base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_128, $key, $decrypted . md5($decrypted), MCRYPT_MODE_CBC, $iv));
        // We're done!
        return urlencode($iv_base64 . $encrypted);
    } 

    public function decrypt($encrypted) 
    {
        $pass = $this->crypt_password;
        $salt = $this->crypt_salt;

        $encrypted = rawurldecode($encrypted);

        // Build a 256-bit $key which is a SHA256 hash of $salt and $password.
        $key = hash('SHA256', $salt . $pass, true);
        // Retrieve $iv which is the first 22 characters plus ==, base64_decoded.
        $iv = base64_decode(substr($encrypted, 0, 22) . '==');
        // Remove $iv from $encrypted.
        $encrypted = substr($encrypted, 22);
        // Decrypt the data.  rtrim won't corrupt the data because the last 32 characters are the md5 hash; thus any \0 character has to be padding.
        $decrypted = rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_128, $key, base64_decode($encrypted), MCRYPT_MODE_CBC, $iv), "\0\4");
        // Retrieve $hash which is the last 32 characters of $decrypted.
        $hash = substr($decrypted, -32);
        // Remove the last 32 characters from $decrypted.
        $decrypted = substr($decrypted, 0, -32);
        // Integrity check.  If this fails, either the data is corrupted, or the password/salt was incorrect.
        if (md5($decrypted) != $hash) return false;
        // Yay!
        return $decrypted;
    }

}//class crypt

然后像这样使用它:

$cr = new EncryptClass;
$cr->password('A PASSWORD');

// to encrypt
$crypt = $cr->encrypt('The thing you want to crypt');

// to decrypt
$decrypt = $cr->decrypt('The thing you want to decrypt');

希望它有所帮助。

相关问题
最新问题