Wie um verschlüsselte Daten zu speichern im cookie (mit php)?

Möchte ich speichern Daten in cookies (Benutzername, E-Mail-Adresse, etc...) aber ich weiß nicht, die Benutzer leicht zu Lesen oder zu verändern. Ich muss in der Lage sein, die Daten Lesen können zurück. Wie kann ich das machen mit php 5.2+?

Wäre es für die "willkommen zurück "bob" Art feature. Es ist nicht ein Ersatz für die Persistenz-oder session-storage.

InformationsquelleAutor Dinoboff | 2008-10-06
  1. 9

    Verwenden wir mcrypt in unseren Projekten zu erreichen-Verschlüsselung. Unten ist ein code-Beispiel basierend auf den Inhalten finden Sie im internet:

    <?php
class MyProjCrypt {

    private $td;
    private $iv;
    private $ks;
    private $salt;
    private $encStr;
    private $decStr;


    /**
     *  The constructor initializes the cryptography library
     * @param $salt string The encryption key
     * @return void
     */
    function __construct($salt) {
        $this->td = mcrypt_module_open('rijndael-256', '', 'ofb', ''); //algorithm
        $this->ks = mcrypt_enc_get_key_size($this->td); //key size needed for the algorithm
        $this->salt = substr(md5($salt), 0, $this->ks);
    }

    /**
     * Generates a hex string of $src
     * @param $src string String to be encrypted
     * @return void
     */
    function encrypt($src) {
        srand(( double) microtime() * 1000000); //for sake of MCRYPT_RAND
        $this->iv = mcrypt_create_iv($this->ks, MCRYPT_RAND); 
        mcrypt_generic_init($this->td, $this->salt, $this->iv);
        $tmpStr = mcrypt_generic($this->td, $src);
        mcrypt_generic_deinit($this->td);
        mcrypt_module_close($this->td);

        //convert the encrypted binary string to hex
        //$this->iv is needed to decrypt the string later. It has a fixed length and can easily 
        //be seperated out from the encrypted String
        $this->encStr = bin2hex($this->iv.$tmpStr);

    }

    /**
     * Decrypts a hex string    
     * @param $src string String to be decrypted
     * @return void
     */
    function decrypt($src) {
        //convert the hex string to binary
        $corrected = preg_replace("[^0-9a-fA-F]", "", $src);
        $binenc = pack("H".strlen($corrected), $corrected);

        //retrieve the iv from the encrypted string
        $this->iv = substr($binenc, 0, $this->ks);

        //retrieve the encrypted string alone(minus iv)
        $binstr = substr($binenc, $this->ks);

        /* Initialize encryption module for decryption */
        mcrypt_generic_init($this->td, $this->salt, $this->iv);
        /* Decrypt encrypted string */
        $decrypted = mdecrypt_generic($this->td, $binstr);

        /* Terminate decryption handle and close module */
        mcrypt_generic_deinit($this->td);
        mcrypt_module_close($this->td);
        $this->decStr = trim($decrypted);

    }
}
    • Der IV (Initialisierungsvektor) wird ein zufälliger chunk verwendet werden an der Vorderseite des Streams zu verschlüsseln. Dies soll verhindern, dass known-plaintext-Angriffe. Sie brauchen nicht zu wissen, die IV für die Entschlüsselung, nur seine Größe. In der Regel ist diese Größe standard.
    • Ich habe nicht in der Lage, einen Weg zu finden mcrypt_generic_init ohne die IV.
    InformationsquelleAutor Shoan
  2. 7

    Ich schlage vor, Sie nicht nur verschlüsseln, sondern auch signieren der Daten. Wenn Sie nicht Unterschreiben werden die Daten, die Sie nicht in der Lage sein zu sagen, zuverlässig, ob der Benutzer verändert die Daten. Auch, um zu verhindern replay-Sie können hinzufügen, einige timestamp - /Gültigkeit die Informationen in den Daten.

    InformationsquelleAutor Alexander
  3. 6

    Wenn Sie nicht möchten, dass Benutzer, es zu Lesen, legen Sie es nicht in einem cookie;
    Statt Nutzung-Sitzung mit einem cookie, das bleibt für eine längere Zeit. Auf diese Weise bleibt die Daten auf dem server und nicht auf dem computer des Benutzers.

    Finden Sie in diesem Artikel über persistente sessions

    InformationsquelleAutor fijter
  4. 3

    Für die Verschlüsselung Beispiel siehe "symmetrische Verschlüsselung" Abschnitt in http://www.osix.net/modules/article/?id=606.

    Verhindern, dass unbefugte änderung und Verwendung HMAC: http://php.net/hash-hmac, und über hmac-im Allgemeinen: http://en.wikipedia.org/wiki/HMAC, http://en.wikipedia.org/wiki/Message_authentication_code

    Und wenn Sie nicht haben, nicht speichern Sie empfindliche Daten in einem cookie, sogar verschlüsselt. Können Sie mehr Lesen möchten über "Daten-Dereferenzierung".

    InformationsquelleAutor Paweł Hajdan
  5. 1

    Wenn Sie unbedingt tun müssen, dann können Sie mithilfe der symmetrischen Verschlüsselung ist in mcrypt.

    http://php.net/mcrypt

    InformationsquelleAutor Kev
Schreibe einen Kommentar