PHP - masquer l'url (GET) paramètres

J'ai un lien dans mon PHP/HTML comme ceci:

<a href="http://search.mywebsite.com/login.aspx?checktype=uid&user=adam&password=pass1234&profile=dart&defaultdb=kts"> Log me into this website </a>

Lorsque l'utilisateur clique sur le lien, les paramètres sont gérés par une 3ème partie site le journal des utilisateurs de façon transparente.

Est-il possible de cacher/masque/camouflage l'url de sorte que les utilisateurs ne voient pas les paramètres, tout continue de passer sur le site désigné?

Si non, comment voulez-vous les gars aller à ce sujet? Je suis surtout inquiet à propos de l'utilisateur et le mot de passe params et ont besoin de ceux qui sont cachés. (utilisateur=adam&mot de passe=pass1234)

La seule façon que je sais comment masquer params est lors de l'utilisation d'un formulaire en méthode post, mais dans ce cas, il n'est pas une option parce que je travaille avec un lien direct.

EDIT:
À ceux qui gardent ce qui suggère à l'aide de la méthode POST, ce n'est pas une option parce que je ne suis pas à l'aide d'un formulaire et de la réception de site web est hors de mon contrôle. Je suis connecté à partir d'un site à l'autre (3e partie) site web

Est d'avoir de l'utilisateur d'ouvrir une session n'est pas une option? Qu'est-ce que vous faire passer un nom d'utilisateur et le mot de passe dans l'url? Aussi, pourquoi voudriez-vous avoir le mot de passe en texte brut?
journal individuel en est pas une option, car il n'existe qu'un seul (de l'entreprise) sur le compte de la 3e partie du site que l'ensemble de notre département utilise pour se connecter avec. C'est un peu comme une connexion unique. Je viens de découvrir cette vulnérabilité et la nécessité de trouver un moyen de le résoudre.

OriginalL'auteur Emir Memic | 2014-06-27

  1. 6

    Votre seule option est d'utiliser un formulaire et après, si la page de votre enregistrement dans l'est contrôlé par une 3ème partie:

    <form action="http://search.mywebsite.com/login.aspx" method="post">
   <input type="hidden" name="checktype" value="uid" />
   <input type="hidden" name="user" value="adam" />
   <input type="hidden" name="password" value="pass1234" />
   <input type="hidden" name="profile" value="dart" />
   <input type="hidden" name="defaultdb" value="kts" />
   <input type="submit" value="Log me into this website" />
</form>

    MODIFIER: Si il doit y avoir un lien et javascript peut être nécessaire, alors vous pouvez utiliser javascript pour créer et soumettre une formulaire à la volée:

    <a href="#" onclick="postLogin()">Log me into this website</a>

<script type="text/javascript">
function postLogin() {
    var form = document.createElement("form");
    form.setAttribute("method", "post");
    form.setAttribute("action", "http://search.mywebsite.com/login.aspx");

    var params = {checktype: 'uid', user: 'adam', password: 'pass1234', profile: 'dart', defaultdb: 'kts'};
    for(var key in params) {
        if(params.hasOwnProperty(key)) {
            var hiddenField = document.createElement("input");
            hiddenField.setAttribute("type", "hidden");
            hiddenField.setAttribute("name", key);
            hiddenField.setAttribute("value", params[key]);

            form.appendChild(hiddenField);
         }
    }

    document.body.appendChild(form);
    form.submit();
}
</script>
    Je vais travailler avec cela et voir comment il va. Je vous remercie.

    OriginalL'auteur cOle2

  2. 2

    Ne pas utiliser $_GET pour passer personnelles, confidentielles ou des données cruciales. Utiliser $_POST au lieu de cela.

    Je ne sais pas ce qui vous empêche d'utiliser $_POST mais si vous insistez sur l'utilisation de toute façon, essayez de md5() pour coder ces données et de les valider si nécessaire. Vous pouvez toujours utiliser $_SESSION pour passer $_POST connexion de données pour une utilisation ultérieure.

    OriginalL'auteur Sates

  3. 1

    De s'entendre et de chiffrement et de hachage approche (MD5 par exemple). Alors un retraitement page qui déchiffre le message avant d'appeler le script requise. Je suis en train de faire cela en php... Juste pour vous montrer l'idée.

    par exemple. http://www.mydomain.com/preporcessor.php?request=qouiapfiwe0i9qrr9qyy83r34rqejl

    preprocessor.php (pseudo-code)

    $request = $_REQUEST["request"];
$decrypted = mydecryptfunction($request);
//$decrypted will now contain: targetpage=login.php?username=abc&password=34453js&location=ABJ...
//Now you can route the parameters to login.php.

    Noter que mydecryptfunction($request) est une fonction que vous allez créer.

    C'est une solution valable seulement le problème est que je n'ai pas de contrôle sur la réception de site web de la manipulation de la demande de connexion.
    Si il ya une option de l'utilisation de SSL, aller pour elle. Vos options sont limitées si vous n'avez pas de contrôle sur la réception de site web. Vous pouvez proposer cette possibilité.

    OriginalL'auteur Justjyde

  4. 0

    Un identifiant qui doit être fait par la POSTE, de ne pas OBTENIR. En outre, les informations sensibles doivent être envoyées via le protocole HTTPS.

    Le processus de création de connexion sécurisée fonctionnalité pourrait avoir un livre entier sur le sujet, alors je vous suggère de commencer par la lecture de le guide de référence pour les formulaires web d'authentification.

    Si vous avez des questions plus spécifiques concernant la sécurité, je vous suggère d'essayer le plus à De sécurité.SE.

    Je comprends que. Mes excuses pour ne pas avoir été assez clair dans mon premier post. J'ai édité les questions en mentionnant que je n'ai pas de contrôle sur l'extrémité de réception. C'est une 3ème partie du site web.

    OriginalL'auteur Polynomial

  5. 0

    Vous ne pouvez pas faire cela à l'aide de la méthode GET. Il serait utile que vous nous avez donné plus d'informations. Êtes-vous essayer d'obtenir un utilisateur de votre site pour vous connecter à un autre site web? Dans ce cas, ils pourraient avoir une API pour ce que vous pourriez vérifier.

    Oui, im se connectant à partir d'un site à l'autre et qu'ils n'ont pas une API

    OriginalL'auteur gustavormello

  6. 0

    Vous pouvez générer des jetons de ces fonctions:
    dans votre base de données de générer une chaîne de caractères aléatoires:
    C'est une fonction qui retourne une chaîne de caractères aléatoires

    function gt_rnd_str($min=2,$max=9){
    $str="";
    while (strlen($str)<$max) 
        $str.=rtrim(base64_encode(md5(microtime())),"=");
    return substr($str, 0, rand($min, $max));
}

    maintenant enregistrer un jeton avec le nom d'utilisateur/id et en utilisant cela, vous pouvez facilement générer plus de jetons pour le même utilisateur, ainsi que d'annuler toute jeton facilement..

    Je n'ai pas accès/contrôle à la réception de site web pour faire de décodage.
    Si vous n'avez pas accès au site web, il n'est pas sûr de le faire il y a une chose que vous pouvez faire est de raccourcir le lien, mais il ne va pas aider à les cacher à un geek gars.
    Si je créer un formulaire qui enregistre le titre, l'url et les paramètres à l'intérieur d'une base de données. Puis en php construire une boucle foreach qui génère un formulaire pour chaque url(y compris les params) mais rend seulement le titre et le lien qui pointe verssearch.mywebsite.com/login.aspx"? En ce sens, chaque clic sur le lien vais faire un post de présentation. Pensées?

    OriginalL'auteur Shubanker