http - parametros - encriptar y desencriptar php
Cifrar identificadores en variables de URL (5)
Estoy desarrollando una aplicación de servidor HTTP (en PHP, sucede). Me preocupan las ID de tabla que aparecen en las URL. ¿Es posible cifrar las variables y valores de URL para proteger mi aplicación?
oh ok, entonces para que la información confidencial sea mejor para usar las sesiones, entonces, ¿son seguros para lanzar en la tabla las tablas Ids, etc.?
Sí, la información confidencial no debe salir de su servidor en primer lugar. Usa sesiones
En cuanto a "son seguros para las tablas en la URL": no sé, ¿hay algo malo que un usuario pueda hacer al conocer una identificación de la tabla? Si es así, debes arreglar eso. Por lo general, necesitas pasar algún tipo de identificación, sin importar si esa es la "id de la tabla nativa" o alguna otra identificación aleatoria que imaginas. No hay nada intrínsecamente inseguro en mostrar la identificación de un registro en la URL, que en sí mismo significa absolutamente nada. Es la forma en que su aplicación utiliza esta identificación que puede o no abrir agujeros de seguridad.
Además, piense si un usuario puede adivinar fácilmente otros identificadores que se supone que no debe saber y si eso significa algo malo para su seguridad.
La seguridad no es algo único, debes pensar en ello en cada línea de código que escribes.
Parece que quieres pasar información sensible como un parámetro GET.
No hagas eso, usa $_SESSION
si puedes.
Sin embargo, si desea codificar sus params (es decir, =>
+
) usa urlencode()
.
$a = ''how are you?'';
echo urlencode($a); // how+are+you%3F
Puede cifrar lo que pasa antes de transmitir, o puede ejecutar toda la comunicación a través de un canal cifrado (https o ssh, por ejemplo).
Sus variables GET se denominan lo que usted elija para llamarlas, y se les asigna cualquier valor que elijan darles. Entonces, sí: ciertamente pueden ser encriptados o, si prefieren, simplemente oscurecidos. Si planea encriptar variables, entonces PHP tiene bastantes opciones disponibles .
Para lo anterior, recomendaría usar algo como urlencode
.
En general, sugeriría utilizar POST en lugar de GET, suponiendo que obtiene sus variables de un elemento de formulario. Por otro lado, podría ser aún más prudente usar variables de sesión.
Tal vez este artículo te puede dar más ideas ...