我打算对表单使用GET,但希望加密查询字符串中的值,这样用户就无法更改它。(不是为了安全,而是为了隐藏数据)
我遇到了几个解释加密的网站,但我不清楚一旦用户按下提交按钮,如何实现它。例如:http://myscriptlibrary.wordpress.com/2010/04/14/how-to-encrypt-query-string-in-php/
有没有一个例子可以说明这一点?
谢谢。
根据我对您提供的链接的理解。您希望对GET变量进行加密,或者至少对它们进行模糊处理。
可以做到这一点的最佳和最简单的方法是使用base64_decode/encode例如,要对字符串进行编码,您可以执行以下操作:
$link = "http://www.example.com/?item=".urlencode(base64_encode("user-data"));
$link看起来有点像http://www.example.com/?item=rklgEwkelnf%3D%3D,但要将看似混乱的(base64ed)文本翻译成可用的文本,您可以使用
foreach($_GET as $loc=>$item)
$_GET[$loc] = base64_decode(urldecode($item));
然后,您可以像往常一样自由地使用$_GET变量。
以下解决方案很容易实现,而且足够强大,除非您处理非常敏感的数据,如信用卡信息或NASA算法
当您通过发送参数时。GET-添加一个散列值,例如:
$parameter = "abc"; //The parameter which you'll pass as a GET parameter
$salt = "cV0puOlx";
$hashed = md5($salt.$parameter);//A hash that you'll pass as well
header("Location: http://www.yourdomain.com?param=$parameter&hash=$hash");
然后,当您读取参数时,请检查哈希是否有效:
$parameter = $_GET['param'];
$hash = $_GET['hash'];
$salt = "cV0puOlx";
$hashed = md5($salt.$parameter);
//now you check:
if ($hash === $hashed){
//everything's fine - continue processing
}
else{
// ERROR - the user tried to tamper with your parameter
// show error-message and bail-out
}
1-隐藏你的var
2-确保使用base64 MIME进行正确编码。
3-做你想做的事(例如:存储在你的数据库中以便稍后解密,传递到GET等…)
4-解码base64安全你的变种
5-解密你的var
我实现了一个完成这项工作的类。(安全和数据隐藏)使用openssl方法与aes-256模式cbc来保护密码(不要忘记初始化向量)
class Encryption{
public static function safe_b64encode($string='') {
$data = base64_encode($string);
$data = str_replace(['+','/','='],['-','_',''],$data);
return $data;
}
public static function safe_b64decode($string='') {
$data = str_replace(['-','_'],['+','/'],$string);
$mod4 = strlen($data) % 4;
if ($mod4) {
$data .= substr('====', $mod4);
}
return base64_decode($data);
}
public static function encode($value=false){
if(!$value) return false;
$iv_size = openssl_cipher_iv_length('aes-256-cbc');
$iv = openssl_random_pseudo_bytes($iv_size);
$crypttext = openssl_encrypt($value, 'aes-256-cbc', 'your security cipherSeed', OPENSSL_RAW_DATA, $iv);
return self::safe_b64encode($iv.$crypttext);
}
public static function decode($value=false){
if(!$value) return false;
$crypttext = self::safe_b64decode($value);
$iv_size = openssl_cipher_iv_length('aes-256-cbc');
$iv = substr($crypttext, 0, $iv_size);
$crypttext = substr($crypttext, $iv_size);
if(!$crypttext) return false;
$decrypttext = openssl_decrypt($crypttext, 'aes-256-cbc', 'your security cipherSeed', OPENSSL_RAW_DATA, $iv);
return rtrim($decrypttext);
}
}
示例:
$pass_get = 'hello';
$base64_crypt = Encryption::encode($pass_get); // get base64 of crypt data
//稍后传递到$_GET,例如
<a href="https://toto.com?v=<?php echo $base64_crypt;?>" >Other page</a>
//在您的另一个页面中,恢复您的var
$my_get_crypt_var = $_GET['v'];
Encryption::decode($my_get_crypt_var); // return 'hello' or false in case the string to be decrypted is invalid.
这个解决方案不是散列,而是加密!因此,这意味着您可以恢复var的内容。例如,可以用于非敏感数据,但不能用于密码!!!
这里接受的答案没有提供任何真正的保护。您只需将编码后的参数放入在线base64_decode中,它就会显示值,就像您刚刚直接传递它们一样!
另一个答案使用$hash作为传递值,但该值并没有被定义为仅使用$hashed。