PHP : exemple de Formulaire qui permet de chiffrer de chaîne de requête (GET) (données cacher plutôt que de sécurité)

J'ai l'intention d'utiliser GET pour ma forme, mais souhaitez chiffrer les valeurs dans la chaîne de requête, de sorte que les utilisateurs ne sont pas en mesure de le changer. (pas pour la sécurité, mais pour les données de la clandestinité à des fins)

Je suis tombé sur un couple de sites web qui explique le chiffrement, mais il n'est pas clair pour moi comment faire pour le mettre en œuvre une fois que l'utilisateur appuie sur le bouton submit. Ex: http://myscriptlibrary.wordpress.com/2010/04/14/how-to-encrypt-query-string-in-php/

Est là un exemple qui pourrait montrer ce?

Grâce.

InformationsquelleAutor SEU | 2012-08-24
  1. 14

    À partir de ma compréhension du lien que vous avez fourni. Vous voulez chiffrer les variables passées en GET, ou au moins masquer eux.

    La plus simple et la meilleure façon de le faire est d'utiliser base64_decode/encode
    Par exemple pour encoder la chaîne que vous feriez quelque chose comme:

    $link = "http://www.example.com/?item=".urlencode(base64_encode("user-data"));

    $link ressemblerait à quelque chose comme http://www.example.com/?item=rklgEwkelnf%3D%3D, mais pour traduire l'apparence déformée (base64ed) texte en quelque chose d'utilisable, vous devez utiliser:

    foreach($_GET as $loc=>$item)
    $_GET[$loc] = base64_decode(urldecode($item));

    Alors vous pouvez utiliser librement les $_GET variable comme vous le feriez normalement.

    • Salut, Merci pour votre réponse. Je ne comprends cette partie de l'aide de la fonction urlencode/décodage. Cependant, ma question est, comment puis-je modifier l'action de "script" qui est appelée lorsque SOUMETTRE est pressé. Typiquement un voudrais comme celle ci-dessous. Comment puis-je changer cela "form_action.php" pour "form_action.le php?fname=encryptedVal&lname=encryptedVal2" ? <form action="form_action.php" method="get">prénom: <input type="text" name="fname" /><br /> nom: <input type="text" name="lname" /><br /> <input type="submit" value="Envoyer" /> </form>`
    • Cela devrait être fait via javascript. Je vais essayer de le maquettage d'une solution.
    • Voici une stackoverflow lien pour base64 encode en javascript: stackoverflow, tout ce que vous devez faire est de coder la chaîne de la demande au serveur. Et puis, laissez le PHP gérer le reste.
    InformationsquelleAutor Glenn Dayton
  2. 8

    La solution suivante est assez facile à mettre en œuvre et est assez fort, à moins que vous traitez avec des données très sensibles comme les cartes de crédit-cartes de l'information ou de la NASA algorithmes...

    Lorsque vous envoyez le paramètre via. GET - ajouter une valeur de hachage avec elle, par exemple:

    $parameter = "abc"; //The parameter which you'll pass as a GET parameter
$salt = "cV0puOlx";
$hashed = md5($salt.$parameter);//A hash that you'll pass as well
header("Location: http://www.yourdomain.com?param=$parameter&hash=$hash");

    Puis, quand vous lisez les paramètres, vérifiez que le hachage est valide:

    $parameter  = $_GET['param'];
$hash = $_GET['hash'];
$salt = "cV0puOlx";
$hashed = md5($salt.$parameter);
//now you check:
if ($hash === $hashed){
   //everything's fine - continue processing
}
else{
  //ERROR - the user tried to tamper with your parameter
  //show error-message and bail-out
}
    • Ce sujet, les algorithmes de Google? Ha.
    • bon point +1 :)))
    • Je pense qu'il cherchait à cacher les valeurs: "pas de sécurité, mais pour les données de la clandestinité à des fins"
    • hmmm... pour les données cacher il peut soit utiliser la POSTE ou la soumission d'un formulaire avec des paramètres cachés. semble trop facile...
    • ouais, je ne suis pas sûr de ce que sa face est.
    • La POSTE est quelque chose que je considère, mais je serait également en mesure d'avoir des liens partagés, donc je suis à la recherche d'une solution qui consiste à OBTENIR.
    • Donc, vous devriez envisager @Glenn de Dayton solution. Je accepter sa réponse!

    InformationsquelleAutor alfasin
  3. 5

    La accepté de répondre ici ne fournit pas de protection réelle. Vous pouvez simplement prendre de l'encodage des paramètres et de les mettre en ligne base64_decode et il indique les valeurs que si vous avez tout juste de passer directement!

    L'autre réponse utilise $hash comme un passage par valeur, mais cette valeur n'a pas été définie seulement $haché.

    InformationsquelleAutor HeavyHead
  4. 3

    1 - Crypte votre var

    2 - assurez-vous de coder correctement avec MIME base64.

    3 - Faites ce que vous voulez (exemple : stocker dans votre base de données afin de décrypter plus tard, passer en GET etc ...)

    4 - Décodage en base64 en toute sécurité votre var.

    5 - Décrypter votre var

    J'ai mis en place une classe qui fait le travail. (et la sécurité des données cacher)
    Utiliser openssl méthode avec aes-256 en mode cbc sécurisé crypte (n'oubliez pas de vecteur d'initialisation)

    class Encryption{
/**
* 
* Retourne la chaîne de caracère encodéé en MIME base64
* ----------------------------------------------------
* @param string
* @return string
*
**/
public static function safe_b64encode($string='') {
$data = base64_encode($string);
$data = str_replace(['+','/','='],['-','_',''],$data);
return $data;
}
/**
* 
* Retourne la chaîne de caracère MIME base64 décodée
* -------------------------------------------------
* @param string
* @return string
*
**/
public static function safe_b64decode($string='') {
$data = str_replace(['-','_'],['+','/'],$string);
$mod4 = strlen($data) % 4;
if ($mod4) {
$data .= substr('====', $mod4);
}
return base64_decode($data);
}
/**
*
* Crypte une chaîne de caractères avec un algorithme de cryptage aes-256 mode cbc
* Le crypatage s'effectue avec une clé définie dans le fichier core.php
* ------------------------------------------------------------------------------------------
* @param string
* @return string
*
**/
public static function encode($value=false){ 
if(!$value) return false;
$iv_size = openssl_cipher_iv_length('aes-256-cbc');
$iv = openssl_random_pseudo_bytes($iv_size);
$crypttext = openssl_encrypt($value, 'aes-256-cbc', 'your security cipherSeed', OPENSSL_RAW_DATA, $iv);
return self::safe_b64encode($iv.$crypttext); 
}
/**
*
* Decrypte une chaîne de caractères
* ---------------------------------
* @param string
* @return string
*
**/
public static function decode($value=false){
if(!$value) return false;
$crypttext = self::safe_b64decode($value);
$iv_size = openssl_cipher_iv_length('aes-256-cbc');
$iv = substr($crypttext, 0, $iv_size);
$crypttext = substr($crypttext, $iv_size);
if(!$crypttext) return false;
$decrypttext = openssl_decrypt($crypttext, 'aes-256-cbc', 'your security cipherSeed', OPENSSL_RAW_DATA, $iv);
return rtrim($decrypttext);
}
}

    Exemple : 

    $pass_get = 'hello';
$base64_crypt = Encryption::encode($pass_get); //get base64 of crypt data

    //Plus tard passer dans $_GET par exemple

    <a href="https://toto.com?v=<?php echo $base64_crypt;?>" >Other page</a>

    //Dans votre autre page, récupérer votre var

    $my_get_crypt_var = $_GET['v'];
Encryption::decode($my_get_crypt_var); //return 'hello' or false in case the string to be decrypted is invalid.
    • je reçois erreur d'analyse de la syntax error, unexpected ',' en ligne 24
    • Mise à jour, une petite erreur, après une virgule. N'oubliez pas de mettre votre sécurité cipherSeed
    InformationsquelleAutor Louis Schwartz