PHP 通过 URL 发送加密数据
Posted
技术标签:
【中文标题】PHP 通过 URL 发送加密数据【英文标题】:PHP sending encrypted data via the URL 【发布时间】:2013-11-29 14:46:50 【问题描述】:我正在尝试通过 url 将加密数据发送到另一个站点(使用 file_get_contents("anotherUrl.php?hash=$encryptedString")。问题是,有时加密包含一些特殊字符,例如 +,这会导致解密失败。
这是我的加密/解密方法:
public function encrypt($string, $key)
return base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), $string, MCRYPT_MODE_CBC, md5(md5($key))));
public function decrypt($encrypted, $key)
return rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($key), base64_decode($encrypted), MCRYPT_MODE_CBC, md5(md5($key))), "\0");
这是一个包含+ 的示例加密字符串,我猜这会导致解密失败。
oWCrVPaS+5GbxcQFc0fulUk/zRAkDD60av4zlPiWskE=
任何想法我应该如何解决这个问题?我尝试在哈希上执行urlencode() 和urldecode(),但这似乎也会导致加密中断。有没有办法改变加密算法让它只返回 url 安全字符?
【问题讨论】:
只是一个小问题,你为什么要对密钥执行两次连续的 md5 操作?你希望从中获得什么? @CPUTerminator 实际上我已经完全按照 SO 上的另一个答案复制了该函数,我没有对其进行任何更改。 嗯...我看不出有什么意义。如果密钥很弱(即不是来自加密强的随机数生成器),您应该不使用md5 作为密钥强化算法(请参阅PBKDF#2、bcrypt 或scrypt )。如果您的密钥已经很强大,那么您只是在浪费处理器周期。
你从哪里得到密码学代码的? It's not secure.
【参考方案1】:
看看这个帖子:
Passing base64 encoded strings in URL
基本上你DO想在发送字符串之前urlencode(),但是你确实不想在另一端urldecode()。
【讨论】:
谢谢,你是对的。它适用于单向 url 编码。 (如果它不应该被解码,则应该没有 url decode 函数,但那是你的 PHP)。 还有很多其他时候需要 urldecode() ,但这不是其中之一。很高兴能提供帮助。urlencode 是必需的,因为您在此处构建 查询字符串。另一方面,PHP 为您获取该查询字符串和urldecodes,将结果写入$_GET。这就是不对称的原因。如果您要自己解析 查询字符串,您还必须自己执行 urldecode。【参考方案2】:
为了解决这个问题,我现在使用以下方法(经过 3 小时的痛苦),效果很好。
随意复制粘贴
function encrypt($pure_string)
$dirty = array("+", "/", "=");
$clean = array("_PLUS_", "_SLASH_", "_EQUALS_");
$iv_size = mcrypt_get_iv_size(MCRYPT_BLOWFISH, MCRYPT_MODE_ECB);
$_SESSION['iv'] = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$encrypted_string = mcrypt_encrypt(MCRYPT_BLOWFISH, $_SESSION['encryption-key'], utf8_encode($pure_string), MCRYPT_MODE_ECB, $_SESSION['iv']);
$encrypted_string = base64_encode($encrypted_string);
return str_replace($dirty, $clean, $encrypted_string);
function decrypt($encrypted_string)
$dirty = array("+", "/", "=");
$clean = array("_PLUS_", "_SLASH_", "_EQUALS_");
$string = base64_decode(str_replace($clean, $dirty, $encrypted_string));
$decrypted_string = mcrypt_decrypt(MCRYPT_BLOWFISH, $_SESSION['encryption-key'],$string, MCRYPT_MODE_ECB, $_SESSION['iv']);
return $decrypted_string;
【讨论】:
非常感谢,str_replace 的想法很棒!! mcrypt_get_iv_size()、mcrypt_create_iv()、mcrypt_encrypt() 和 mcrypt_decrypt() 在 php7.1 以后都已弃用。【参考方案3】:除了使用 Base64 对数据进行编码之外,您还可以使用 Base32 (RFC 4648),它是 URL 安全的,因为它只使用字母 A–Z(不区分大小写)和数字 2–7。已经有一个PHP library 用于编码/解码。请注意,Base32 占用的空间比 Base64 多约 20%。
您还可以使用URLcrypt,这是一个方便的库,可帮助您进行加密和 Base32 编码。
【讨论】:
【参考方案4】:class Encryption
var $skey = "SuPerEncKey2010"; // you can change it
public function safe_b64encode($string)
$data = base64_encode($string);
$data = str_replace(array('+','/','='),array('-','_',''),$data);
return $data;
public function safe_b64decode($string)
$data = str_replace(array('-','_'),array('+','/'),$string);
$mod4 = strlen($data) % 4;
if ($mod4)
$data .= substr('====', $mod4);
return base64_decode($data);
public function encode($value)
if(!$value)return false;
$text = $value;
$iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$crypttext = mcrypt_encrypt(MCRYPT_RIJNDAEL_256, $this->skey, $text, MCRYPT_MODE_ECB, $iv);
return trim($this->safe_b64encode($crypttext));
public function decode($value)
if(!$value)return false;
$crypttext = $this->safe_b64decode($value);
$iv_size = mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB);
$iv = mcrypt_create_iv($iv_size, MCRYPT_RAND);
$decrypttext = mcrypt_decrypt(MCRYPT_RIJNDAEL_256, $this->skey, $crypttext, MCRYPT_MODE_ECB, $iv);
return trim($decrypttext);
【讨论】:
以上是关于PHP 通过 URL 发送加密数据的主要内容,如果未能解决你的问题,请参考以下文章