Vale la pena serializzare una variabile GET ai fini della sicurezza?

**magic_key** · 24-02-2015, 11:02

Ciao a tutti, uso la variabile GET per trasferire dati sensibili (come gli ID) in altre pagine..

Essendo queste variabili visibili nella barra degli indirizzi, ho pensato di cammuffarli con il comando serialize:

pagina1.php

pagina2.php

Il tutto funziona alla grande e la mia domanda come da titolo è: vale la pena predisporre il sito in questo modo per cammuffare dati visibili nella barra degli indirizzi?

PS per gli amministratori: ultimamente succede che quando copio in un nuovo post del codice php, con e senza tag ottengo sempre questo errore e mi sento costretto a inserire delle immagini al loro posto.. è un problema di copia incolla o lo script che copio contiene caratteri non accettati?

**badaze** · 24-02-2015, 19:30

cosa vuoi nascondere ? L'id ?
imho se la cripti con un metodo che ogni utente di php puo' decriptare non serve a nulla. Io ho risolto in questo modo.
Ad ogni id interno (un autoincrement) ho un id casuale composto da 5 gruppi da 4 cifre separati da un - . Esempio : 0098-3456-9876-3456-6789. E comunico con questo id. Cosi mi è facile controllare l'id tramite regexp e siccome è un id casuale ci vorrebbe molta fortuna o molto tempo per trovarne uno che corrisponde ad un id reale. Con soli numeri hai 9,995 E19 combinazioni. Se ad ogni gruppo permetti anche lettere hai 1.336 E31 combinazioni.

**Santino83_02** · 24-02-2015, 19:33

usa degli uuid/guid nel db

**.Kurt** · 25-02-2015, 04:38

Il tutto funziona alla grande e la mia domanda come da titolo è: vale la pena predisporre il sito in questo modo per cammuffare dati visibili nella barra degli indirizzi?

Diciamo anche che dare in pasto ad unserialize un input non controllato come stai facendo è una cosa molto pericolosa. Lo vorrei sottolineare perché nel titolo della tua discussione hai scritto la parola "sicurezza". Bhè, non è sicuro. Per dettagli: google.

**magic_key** · 18-03-2015, 18:53

Originariamente inviata da Santino83_02

usa degli uuid/guid nel db

Prima di rispondere ho fatto le dovute ricerche su Google ma non ho trovato neanche una mezza guida che spieghi come impostare gli uuid.. Ad esempio presumo che nel db dovrei togliere l'auto-increment agli id.. e la generazione dei nuovi uuid come avviene quando aggiungo nuovi record? la cosa si gestisce con php o con mysql?

**magic_key** · 18-03-2015, 21:02

Forse si usa così? E' un qualcosa del genere?

codice:

<?php
$genera = uniqid();
* query *
"INSERT INTO tab (id) VALUES ('$genera')"
?>

**badaze** · 18-03-2015, 23:04

Perche togliere l'autoincrement? Una tabella puo' avere più di un campo univoco.

**magic_key** · 18-03-2015, 23:50

Originariamente inviata da badaze

Perche togliere l'autoincrement? Una tabella puo' avere più di un campo univoco.

Forse sto iniziando a intuire qualcosa.. Fin'ora ho immaginato che gli uuid fossero una SOSTITUZIONE ai normali id auto incrementanti (mi chiedevo infatti come può essere auto incrementante un id generato a caso).. Voi dite di utilizzare questi uuid come campi secondari come identificativo univoco tipo un codice fiscale?

**badaze** · 18-03-2015, 23:57

Io faccio cosi.

**magic_key** · 19-03-2015, 00:01

Mica l'avevo capito

.. Grazie cmq per i consigli

Discussione: Vale la pena serializzare una variabile GET ai fini della sicurezza?

Strumenti discussione

Ricerca discussione

Visualizza

Vale la pena serializzare una variabile GET ai fini della sicurezza?

Permessi di invio