Querystring verschlüsseln / entschlüsseln

naja, ... wieso sollten man diesen querystring verschlüsseln, also was steht da drin, was der user nicht wissen darf - oder anders herum: dein script sollte schon die $_GET/$_POST auf sinn und korrektheit etc. untersuchen, dann kann es dir brust sein, was der user eingibt, da nur gültige eingaben verwendet werden ....

das halte ich für effektiver, als die url zur verschlüsseln ...
[/ot]

nur mal so zum verstehen:

angenommen userid 20 gehört zu mir und userid 21 gehört zu dir

du willst ja sicher nicht, dass ich deine persönlichen daten sehe oder?

so wie ich das verstandenh abe, beruht dein schutz darauf, dass ich nicht weiß, wie der link zu deinen daten aussieht, da du den verschlüsselst?

angenommen, ich setze mich nach dir an den pc an dem du gearbeitet hast und schaue mir den verlauf an...
meinst du nicht, da is der link zu deinen daten zu finden?
und abrakadabra... ich seine persönlichen daten, weil der schutz dann ausgeheblt is

schau dir doch mal das tutorial von mir an, is eigentlich nich schwer

@MelloPie:

ich bedanke mich doch bei Dir, für deine Hilfe, gar keine Frage.
Nur irgendwie kann es nicht sein, wenn ich z.B. Autohändler sage, ich will ein Cabrio kaufen, fängt er mit mir darüber zu diskutieren, ob Kombi mit gelben Felgen oder Mini Cooper mit 220er Bereifung für mich besser wäre.
Nimm es nicht persönlich, aber ich wollte nur paar Möglichkeiten zu meiner Frage. Die Diskussion über Session oder POST ist zwar schön, hat aber mit dem eigentlichen Thema "Verschlüsselungsmethode" nichts zu tun !

@mrhappiness:

mcrypt gefällt mir schon, nur solche Funktionen müssen funktionieren, ohne dass man irgendwelche Dateien in System32 übertragen werden müssen (beim Windoof). Meine Entwicklungsumgebung ist auf einem USB Stick und da soll die auch bleiben (also WAMPP).

Die Idee mit MD5 Code => QueryString finde ich gar nicht mal so schlecht, wäre auch eine nette Möglichkeit.
Da ich natürlich faul bin *g*, wollte ich es mir einfach machen :-)

Zweck der Verschlüsselung ist Script mit dem ich z.Z. beschäftige (ein sagen wir mal Personal Portal). Um die benötigte Sicherheit zu haben, habe ich mir gedacht, dass eine Verschlüsselung des Querystrings, auch nach Freigabe des Quellcodes mich von irgendwelchen "möchtegern" Hackern bewahren soll.

Gruß
Dejan

aha

kannst du mir das so erklären, als wäre ich sechs jahre alt?

Ein guter Autohändler wird, wenn Du auf ein am Zaun gelehntes Fahrzeug deutest und sagst "Ich will dieses Cabrio kaufen", dich zumindest darauf hinweisen das es sich um sein Fahrrad handelt ...

... oder ... um es mit Forrest Gump zu sagen: "Dumm ist der der dummest tut!".

@goth:

Danke für dein Hinweis, wie gesagt, nicht jeder besitzt den benötigten geistigen Reichtum.

@mrhappiness:

also, ich habe ein String. Ich verschlüssele den vor der Anzeige mit einem zusammengesetzten Schlüssel (aus SID, Remote_Host und den persönlichen eingegebenem Schlüssel). Später soll dieser verschlüsselter String mit zusammengesetzten Schlüssel wieder entschlüsselt werden.
Mehr soll es net sein !
Ich hoffe, dass ich verständlich genug für jeden sechs jährigen war (kleiner Scherz)

Nur mal so die Grundlagen eines Menus:

Hier dein Menu:
Home (index.php?sid=123&action=home)
Downloads (index.php?sid123&action=downloads)
etc...
in der PHP-Datei prüfst du dann nach was angeklickt wurde:

if( $_GET['action'] == 'home' )
{
echo 'Home';
}
elseif( $_GET['action'] == 'downloads' )
{
echo 'Downloads';
}
etc... (geht besser mit switch)
Vorher prüfst du natürlich ob der User mit der sid überhaupt den Bereich betreten darf...Dabei brauchst du NICHTS zu verschlüsseln...

OffTopic:

---

Verschlüsseln eines Menus...Das hab ich noch nie gehört _D

---

wo kommt die SID (Sesion-ID?) her?

ich hab das prinzip nicht so ganz verstanden:
index.php?view=20 ist gefährlich, weil ich das einfach in index.php?view=21 umändern kann und andere daten sehe?

index.php?view=ykdhf32r43r3 ist sicherer?
weil ich nicht weiß, dass es für die 21 index.php?view=453r7hd3x heißt?

Genau, es ist sicherer, weil der jenige, der den Script benutzt überhaupt nicht sieht, welche Module geladen oder Parameter übergeben werden.
Also, rein theoretisch würde QueryString für index.php?view=20 bei Dir anders aussehen als bei mir !

was mir aber egal is, da ich ja nur den link an sich kennen muss, um auf die daten zugreifen zu können
und das mach ich zur not mit brute-force

anders aussehen wird er übrigens nur wegen dem persönlichen schlüssel, da du die IP nicht nehmen kannst (proxy, aol, ...)

du willst also sowas in der art machen machen warum nicht so? nachteil deiner variante und vorteiler meiner: wenn ich deine verschlüsselte info für view=21 habe, hab ich auch die dazugehörigen daten; wenn bei mir einer aus view=20 einfach view=211 macht, fliegt er auf die schnauze, da das system erkennt, dass ihn das nix angeht

ganz nebenbei find ich meinen vorschlag auch weniger umständlich

@mrhappiness:

Das mit IP Addy, habe ich mir schon gedacht, ich habe es auch im meinem ersten Thread erwähnt:

Nicht ganz, so lange ich mein eingenen KEY oder deinen persönlichen Schlüssel nicht habe, so lange hat man keine Möglichkeit es ganz genau zu entschlüsseln, genau das war meine Idee.

Und genau hast Du es selber erkannt, die Sache mit Session ist einfach umständlich (alle mögliche Parameter müsseb abgefangen werden).

Traurig aber wahr ... und auch Du hast mich enttäuscht ... !

Tja, wenn jeder Newbie so herzlich empfangen wird, finde ich hier sehr angenehm weiterhin meine Fragen zu stellen.

ups...Fehler passiert !

ich muss doch den verschlüsselten link nicht entschlüsseln, es reicht, wenn ich die verschlüsselte darstellung habe!ich hab geschrieben dass meine variante weniger umständlich ist...

wenn du sowieso schon mit sessions arbeitest, warum machst du es dir dann so schwer?

meine variante wäre ein pförtner im foyer, der nicht jeden überall hinlässt (du darfst in dein büro, ich darf in mein büro, chef und putze dürfen in alle büros)
deine variante sieht so aus, dass du die bürotüren mühsam mit tarnfarben anpinselst und darauf vertraust, dass schon niemand die türen von anderen mitarbeitern findet. sollte das doch passieren...
gut nacht und viel spaß beim neustreichen