Criptare querystring

[centro]

Ciao a tutti ho un sito in cui l'utente per stampare un certificato deve loggarsi.
Loggandosi recupera il propriuo codice fiscale e in una pagina del sito, siccome questa applicazione non è centralizzata linko ad unaltro server
ad esempio :

Codice PHP:

[url="http://253.215.124.5/certificato.php?doc=14323-10004263.jpg&codice_fiscale=RSSMRO74D45E882U"]STAMPA[/url] 


ora questi dati vengono ricevuti (dall'altro server) dalla pagina certificato.php in querystring
e con il codice fiscale mi faccio una nuova query che mi va a prendere nome e cognome dell'utente dell'utente e me li stampa su un pdf che creo al volo.
Ora non ho modo naturalmente di mantenere la sessione poiche sono due server diversi, e non posso nemmeno inviare i dati in post perche mi serve che si apra una pagina con target _blanck.
Chidevo c'è un modo per criptare la querystringa o qualche altro modo per inpeditre che una persona un pò più esperta acambi il codsice fiscale e si scarichi un'altro certificato?
Mettengo solo nella barra degli indirizzi:

Codice PHP:

[url]http://253.215.124.5/certificato.php?doc=14323-10004263.jpg&codice_fiscale=RSSMRO74D45E882U[/url] 


Spero di essere statoi chiaro
Grazie
Giuseppe

siccome non ho modo i di mantenere la stessa sessione, visto che sono server diversi vorrei fare in modo

[Albertorrr]

Ciao,
da' un'occhiata qui: http://www.php.net/manual/en/functio...pt-encrypt.php

Potresti crittare il codice fiscale con una chiave. Però devi fare in modo che il secondo server riceva la medesima chiave affinchè possa decrittare la stringa.

[softhare]

e non posso nemmeno inviare i dati in post perche mi serve che si apra una pagina con target _blanck.

Non è corretto: puoi farlo anche col post.
Anzi direi che DEVI farla usando un POST, non per necessità tecniche, ma di sicurezza.

Poi puoi anche pensare alla crittografia...

[Albertorrr]

Originariamente inviato da softhare
Non è corretto: puoi farlo anche col post.
Anzi direi che DEVI farla usando un POST, non per necessità tecniche, ma di sicurezza.

Poi puoi anche pensare alla crittografia...

Utilizzare GET o POST è la stessa identica cosa a livello di sicurezza, dato che i dati viaggiano in chiaro con entrambi i metodi.

[mr.click]

se posso aggiungere un consiglio (ovviamente è un mio parere) ti conviene criptare la stringa avvalendoti di classi esterne...io per criptare uso AES

http://www.phpclasses.org/browse/package/3650.html

è abbastanza facile da implementare, e nella pagina che ti ho linkato ci sono degli esempi....altrimenti di piu semplice c'è blowfish, una libreria che cripta stringhe a 64bit, ma essendo un algoritmo a Rete di Feistel può essere soggetto ad attacchi differenziali (Rijmen)......se pero serve a criptare un codice fiscale va benissimo...

[softhare]

Se deve essere una cosa seria, il codice fiscale ed altri dati delicati non vengono passati nella connessione http.

La connessione http passerà alla applicazione che deve processare i dati un token.
Questa ultima userà il token per prelevare via ssh i dati necessari dal server iniziale.
Poi li processerà come meglio crede.

Del resto bisogna dire che transitano in rete milini di dati sensibili su connessioni http, quindi intercettabili.

Dipende tutto dal livello di sicurezza che ti prefiggi...

Utilizzare GET o POST è la stessa identica cosa a livello di sicurezza, dato che i dati viaggiano in chiaro con entrambi i metodi.

ma in un post non sono leggibili palesemente nella barra degli indirizzi.

Poi volevo solo far presente che si può benissimo usare post e targhet assieme.

[centro]

ragazzi.. grazie delle risposte.....
Io utilizzerei l'invio in post e criptandolo anche...
ma in post posso aprire una pagina con target in black?
questo per me sarebbe essenziale..
ciao Giuseppe

[softhare]

Il target nero (black) va assai di moda, anche quello _blanck.

A parte gli scherzi (però controlla lo spelling delle parole inglesi), basta mettere nel tag FORM l'attributo target:

<FORM ACTION="fai.php" METHOD="POST" TARGET="_blank">...