我正在尝试创建一个使用 MySQL 表来存储条目的简单消息系统 (PHP) 页面。我将在表格中使用的列的粗略轮廓是:
msg_id(主键,自动增量)
user_id(指向创建消息的用户的外键)
时间(提供 msg 时间戳的 DATETIME 条目)
msg(包含 msg 的 VARCHAR)
可访问(只是一个int(1),0表示除用户本人外无人能读,1表示其他人能读)
我想知道的是,加密 msg 字段的最佳方法是什么,以便窥探者无法读取它(比如说,通过打开 mysql CLI 或 phpMyAdmin 并读取值存储在一行中)?
如果“accessable”设置为 0,那么只有他/她自己应该能够阅读它(通过访问一些 PHP 页面),但如果设置为 1,其他人也应该能够阅读它。我不知道如何解决这个问题,所以非常感谢任何帮助!
【问题讨论】:
标签: mysql encryption phpmyadmin
在此处查看可能的加密功能列表:
http://dev.mysql.com/doc/refman/5.1/en/encryption-functions.html
您可以创建更新触发器并检查那里的字段accessable。类似的东西:
CREATE TRIGGER crypt_trg BEFORE UPDATE ON table FOR EACH ROW
BEGIN
IF new.accessable = 0 THEN
SET new.msg := ENCRYPT(new.msg, 'key');
ELSE
SET new.msg := DECRYPT(new.msg, 'key');
END IF;
END;
您还可以使用此查询更新表中的所有现有记录:
UPDATE table SET msg = IF(accessable = 0, ENCRYPT(msg, 'key'), DECRYPT(msg, 'key'));
所以你可以为你的 PHP 代码选择记录:
SELECT msg_id, user_id, time, IF(accessable = 0, DECRYPT(msg, 'key'), msg) msg
FROM table
UPD。这里也有类似的问题:
【讨论】:
您还可以在查询之前加密数据以将其插入,这样 MySQL 甚至不知道它已加密,并在应用程序中检索时对其进行解密。为此,您应该将其存储在 varbinary 或 blob 列中。
【讨论】:
所以我有一个想法可以实现这一点,但这都是概念性的。
假设您的值为“Lorem ipsum dolor sit amet”,并且您想要搜索“lorem”。一种方法是您可以将原始文件分成几块(小写),然后将它们放在第二张表中。整个(原始)值位于 row_id 为 123 的原始表列中,但名为“chunks”的新表可能具有:
row_id | chunk | foreign_row_id
1 | lo | 123
2 | or | 123
3 | re | 123
4 | em | 123
5 | m | 123
6 | i | 123
7 | ip | 123
把它想象成一个子字符串索引,其中每个子字符串都是 2 个字符长。
现在,当用户想要执行搜索时,您可以类似地对其进行分块,然后进行查找。如果他们键入“lo”,那么您会看到哪些外部行 ID 匹配。但是,如果他们输入“lore”,那么您将搜索与“lo”、“or”和“re”匹配的所有外部行 ID。
到目前为止,还不太实用。但是,如果原始值“Lorem ipsum dolor sit amet”被加密或散列,那么您也可以将 2-char 子字符串分块,加密/散列它们,然后查找块 而不是或完整的字符串。无需解密或取消散列。
逻辑是:
然后可以从原始表中获取任何匹配项。这将保护静态数据,因为如果块表被破坏,他们无法对一堆加密/散列的 2 字符值做任何事情。您不能获取 2 个加密/散列的子字符串并重新组合它们或从中获取任何有意义的东西。
如果我是发明者并且必须命名它,因为它与制作彩虹桌相似但又不完全相同,我会称之为“水果鹅卵石桌”。因为块。
【讨论】:
do ip lo m r re su。现在,如果您搜索“ore”,您会将其拆分为 e or,从而导致没有匹配项。一种解决方案是将其拆分为每个可能的偏移量,因此您搜索or e AND o re,但组合的数量呈指数增长,如您所见,您仍然得到不令人满意的结果。