在 GET 参数中隐藏自动增量 ID (PHP)

Question

编辑：我已经找到并发布了一个高效而优雅的解决方案，可以将3141592 之类的 ID 转换为vJST 之类的字符串并向后转换。它在此处可用于 PHP：

https://github.com/delight-im/PHP-IDs

提供一些背景知识，它使用 Knuth 的乘法散列，然后进行基本转换来生成唯一、可逆、非顺序的 ID。

问题：

我在 PHP 中有动态页面，其中的内容根据给定的 id 显示。 id 总是通过 GET 参数提交：page.php?id=X 这会导致一个问题：站点访问者可以枚举 id 并简单地浏览所有不同的内容页面。当然，这应该是不可能的。

如何解决？

我的方法是对链接和表单中的所有 id 进行编码，稍后用作 GET 参数。在每一页的开头，给定的 id 被解码为数据库中使用的“真实”id。这是一个好方法吗？你会选择其他方式吗？

我的方法的可能解决方案：

我会将整数 id 转换为以 38 为基数的整数，并用给定列表的字符替换数字。我会将这些字符用于编码的字符串 id：

a-z 0-9 - _

你也会使用其他角色吗？对于这些角色，我的脚本是这样的：

function id2secure($old_number) {
    $alphabet_en = array(0=>'1', 1=>'3', 2=>'5', 3=>'7', 4=>'9', 5=>'0', 6=>'2', 7=>'4', 8=>'6', 9=>'8', 10=>'a', 11=>'c', 12=>'e', 13=>'g', 14=>'i', 15=>'k', 16=>'m', 17=>'o', 18=>'q', 19=>'s', 20=>'u', 21=>'w', 22=>'y', 23=>'b', 24=>'d', 25=>'f', 26=>'h', 27=>'j', 28=>'l', 29=>'n', 30=>'p', 31=>'r', 32=>'t', 33=>'v', 34=>'x', 35=>'z', 36=>'-', 37=>'_');
    $new_number = '';
    while ($old_number > 0) {
        $rest = $old_number%38;
        if (!isset($alphabet_en[$rest])) { return FALSE; }
        $new_number .= $alphabet_en[$rest];
        $old_number = floor($old_number/38);
    }
    $new_number = strrev($new_number);
    return $new_number;
}

其他问题：

我的函数的反向函数是什么？

我希望你能帮助我。谢谢！

Answer 1

用户可以通过网站访问页面吗？如果答案是肯定的，那么你应该问问自己这是否真的是一个问题。

如果不是，那么问题在于您没有保护您的页面，或者换句话说：您依赖于默默无闻的安全性，这绝不是一个好的举措。

我的建议？要么保护您的页面，以便只有正确的用户可以访问它们，要么不用担心。

如果您真的必须担心它，只需传递一个对于给定页面必须正确的额外字段。我不会从 ID 构造这个。当您在数据库中创建页面条目时，可能会生成另一个数字或 GUID。如果两个字段都不正确，则不显示该页面。

忘记简单的字符替换和其他幼稚的混淆技术。他们是在浪费你的时间。

编辑：如果您需要长度相同的非顺序 ID，请考虑使用 UUID 而不是自动递增主键。基本上这是在应用程序级别完成的：

• 将主键更改为 char(36)；
• 在您的插入语句中，您必须设置密钥并使用 MySQL UUID() 函数填充它。

看看To UUID or not to UUID ? 和UUID as a primary key。这会导致性能下降（特别是因为您使用字符而不是整数进行查找），但除非您有大量（超过 100 万行）或数据，否则在实践中可能不会成为问题。

Answer 2

使用checksum algorithm like Luhn：

$id = 1337;

$_GET['id'] = Luhn($id, 3); // 1337518, adds 3 checkdigits
$_GET['id'] = Luhn_Verify($_GET['id'], 3); // 1337, returns the original number of false if validation fails

echo $_GET['id']; // 1337

编辑：我忘了提，但是通过使用这种方法，您可以检查 ID 是否有效，甚至不必查询数据库，例如：

$id = Luhn_Verify($_GET['id'], 3);

if ($id === false)
{
    // someone is trying to guess the ID
}

else
{
    // $id is valid, do the DB stuff here
}

Answer 3

您仍然可以按顺序浏览您的页面，但猜测模式会更困难。只要根模式是连续的，您最终就会遇到问题（假设它实际上是一个问题，而不仅仅是您不喜欢的想法）。

您可以使用随机数作为 ID。这将防止对页面 ID 和页面顺序的轻松猜测（再次强调，如果这很重要的话）。

Answer 4

您还可以使用Hashids 对您的 ID 进行编码/解码。

编写此代码的目的是将创建的 ID 放置在可见的位置 - 例如 URL。

Hashids 是一个小型开源库，可根据数字生成短的、唯一的、非连续的 id。
它将诸如 347 之类的数字转换为诸如“yr8”之类的字符串，或将诸如 [27, 986] 之类的数字数组转换为“3kTMd”。
您还可以将这些 id 解码回来。这对于将多个参数捆绑到一个或仅将它们用作短 UID 很有用。

Answer 5

我不会为这个“问题”而烦恼，但无论如何我在我的一个项目中使用了这样的方法：

将新页面保存到数据库后，我生成了md5 of (record_id + page_title)并将其放入特殊字段pagecode。然后我通过该页面代码而不是 id 访问页面。并且最好在数据库中索引pagecode字段。

Answer 6

网站访问者可以枚举 ID 并简单地走过所有 不同的内容页面。这 当然，这应该是不可能的。

我不知道为什么这会是个问题 - 人们只需在 Google 中输入site:domain.com 即可查看网站上所有（公共、Googlebot 索引的）页面的列表，并在他们愿意时循环浏览它们.更改您使用的唯一索引不会改变这一点。

但如果您真的不希望访问者直接访问您的页面，一个简单的快速解决方法是使用 POST 而不是 GET。