2. 程式人生 > >使用Hashids來保護你的資料庫主鍵

使用Hashids來保護你的資料庫主鍵

阿新 發佈:2018-11-18

為什麼要保護資料庫主鍵?

資料庫主鍵一般是有序自增主鍵,極易被爬蟲抓取資料,作為應用開發者,這是不應該的,你辛辛苦苦收集的資料轉眼之間被其他人給抓取了,是不是很大的損失?

Hashids的介紹

generate short unique ids from integers

理解為數字編碼庫即可,幾乎支援市面上所有語言。

available in JavaScript, Ruby, Python, Java, Scala, PHP, Perl, Perl 6, Swift, Clojure, Objective-C, C, C++11, D, F#, Go, Erlang, Lua, Haskell, OCaml, Elixir, Rust, Smalltalk, ColdFusion, Groovy, Kotlin, Nim, VBA, Haxe, Crystal, Elm, ActionScript, CoffeeScript, Bash, R, TSQL, PostgreSQL and for

PHP使用

$hashids = new Hashids\Hashids('this is my salt');
$id = $hashids->encode(1, 2, 3);
$numbers = $hashids->decode($id);

注意

該庫並不是一個加密庫,所以不建議用來加密敏感資料,我們的資料庫主鍵ID並不是業務上的敏感資料,所以這個沒關係。

Yii2的使用

由於該編解碼是獨立與業務之外的,所以需要處理的地方在下面:

  1. 接收請求資料的自動解碼
  2. 響應資料的自動編碼(本文只針對JSON響應處理,有需要的可以新增ResponseFormatter自行處理)

這兩個步驟不應該提現在控制器中,控制器拿到的資料是解碼好的,響應的資料是原始資料,然後我們在響應中處理。

程式碼

助手類(HashidsHelper)


class HashidsHelper {
    public static function encode($id)
    {
        $hashids = new \Hashids\Hashids('salt',16);
        return $hashids->encode($id);
    }

    public static function decode($hash)
    {
        $hashids = new \Hashids\Hashids('salt',16);
        $data= $hashids->decode($hash);
        return empty($data)?null:$data;
    }

    public static function decodeArray(array $hashes)
    {
        return array_map([HashidsHelper::class, 'decode'], $hashes);
    }
/**
     * 遞迴編碼
     * @param array $data
     */
    public static function encodeRecursive(array &$data)
    {
        foreach ($data as $key => &$value) {
            if (is_array($value)) {
                self::encodeRecursive($value);
                continue;
            }
            if (strpos($key, 'id') !== false && is_numeric($value)) {
                $data[$key] = static::encode($value);
            }
        }
    }

    /**
     * 遞迴解碼
     * @param array $data
     */
    public static function decodeRecursive(array &$data)
    {
        foreach ($data as $key => &$value) {
            if (is_array($value)) {
                self::decodeRecursive($value);
                continue;
            }
            if (strpos($key, 'id') !== false) {
                if (is_string($value)) {
                    $id = static::decode($value);
                    $data[$key] = $id ?? $value;
                } elseif (is_array($value)) {
                    $data[$key] = static::decodeArray($value);
                }
            }
        }
    }
}

處理請求資料($_POST,$_PUT,$_GET)提交過來的資料

1.新建JsonParser繼承Yii自帶的JsonParser,程式碼如下


class JsonParser extends \yii\web\JsonParser
{
    /**
     * @inheritDoc
     */
    public function parse($rawBody, $contentType)
    {
        $data = parent::parse($rawBody, $contentType);
        if ($data !== null) {
            HashidsHelper::decodeRecursive($data);
        }
        return $data;
    }
}

2.新建Request整合Yii自帶的Request,重寫getQueryParams,程式碼如下:

    public function getQueryParams()
    {
        $data = parent::getQueryParams();
        if ($data !== null) {
            HashidsHelper::decodeRecursive($data);
        }
        return $data;
    }

3.配置web.php的components,更改為我們自定義的處理器

        'request' => [
            'class' => \app\components\Request::class,
            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation
            'cookieValidationKey' => '123456',
            'enableCsrfValidation' => false,
            'parsers' => [
                'application/json' => \app\components\web\JsonParser::class
            ]
        ],

處理響應資料

1.新建JsonResponseFormatter繼承Yii的JsonResponseFormatter,程式碼如下:

class JsonResponseFormatter extends \yii\web\JsonResponseFormatter
{
    /**
     * @inheritDoc
     */
    public function format($response)
    {
        if ($response->data !== null) {
            HashidsHelper::encodeRecursive($response->data);
        }
        parent::format($response);
    }
}

2.配置web.php的components,替換response元件

        'response' => [
            'class' => \app\components\web\Response::class,
            'format' => Response::FORMAT_JSON,
            'formatters' => [
                'json' => [
                    'class' => \app\components\web\JsonResponseFormatter::class,
                    'prettyPrint' => YII_DEBUG
                ]
            ]
        ],

測試

1.SiteController新增方法

    public function actionA($corporation_id)
    {
        $data = Yii::$app->request->post();
        var_dump($data, $corporation_id);
    }

    public function actionB()
    {
        return [
            'app_id' => 1,
            'app' => [
                'app_id' => 2
            ]
        ];
    }

2.請求測試,這個加密過的hash讀者可能解不開,因為我們用的salt不一樣,替換為你自己的即可


POST /site/a?corporation_id=XaYeAV2q80pkB4KL

{
  "corporation_id": "XaYeAV2q80pkB4KL",
  "applet":{
    "id":"XaYeAV2q80pkB4KL",
    "appid":"xxxxxx"
  }
}

3.響應的內容如下:


array(2) {
  ["corporation_id"]=>
  int(1)
  ["applet"]=>
  array(2) {
    ["id"]=>
    int(1)
    ["appid"]=>
    string(6) "xxxxxx"
  }
}
int(1)

4.響應測試


GET /site/b

5.響應內容如下



{
    "app_id": "XaYeAV2q80pkB4KL",
    "app": {
        "app_id": "LOnMp3QR5lryDgRK"
    }
}

寫在最後

不知道這個算不算AOP程式設計?個人覺得算,在業務邏輯之外處理,業務層對外部輸入和自身輸出是透明的(理解為業務層自己不知道加解密)。

本文核心在於兩個遞迴方法,其他語言類似,像nodejs可以使用中介軟體來處理。

原文地址:https://segmentfault.com/a/1190000015704969

相關推薦

使用Hashids保護資料庫主

為什麼要保護資料庫主鍵? 資料庫主鍵一般是有序自增主鍵,極易被爬蟲抓取資料,作為應用開發者,這是不應該的,你辛辛苦苦收集的資料轉眼之間被其他人給抓取了,是不是很大的損失? Hashids的介紹 generate short unique ids from integers 理解為數字編碼庫即可,

(ainusers原創)資料庫主、外來

主鍵 學生表(學號,姓名,性別,班級)  其中每個學生的學號是唯一的,學號就是一個主鍵  聯合主鍵 成績表(學號,課程號,成績)  成績表中一個屬性無法唯一標識一條記錄,學號和課程號組合才可以唯一標識一條記錄,所以 學號和課程號的屬性組是一個主

db2 資料庫主自增

DBeaver中,主鍵自增無法勾選,可通過建表語句實現自增。 在自增的column後新增如下語句 GENERATED ALWAYS AS IDENTITY (      START WITH&

資料庫主和外來及索引

1、主鍵: 若某一個屬性組(注意是組)能唯一標識一條記錄,該屬性組就是一個主鍵。主鍵不能重複,且只能有一個,也不允許為空。定義主鍵主要是為了維護關係資料庫的完整性。 2、外來鍵: 外來鍵用於與另一張表的關聯,是能確定另一張表記錄的欄位。外來鍵是另一個表的主鍵,可以重

Oracle資料庫主值生成的兩種解決方案

解決方案一:使用序列和觸發器實現(推薦) 1、建立資料庫表 設定主鍵 create table Test_Table(   id number(10) primary key, /*主鍵,自動增加*

[MySQL]資料庫主設計之思考

資料庫主鍵設計之思考一 1.是否要採用GUID作為主鍵 用GUID作主鍵有它的優勢與不足.優勢是GUID具有唯一性,在任何情況下,可以產生全球唯一的值.這是GUID 最大的優勢,也方便資料匯入,比如要求從另一個系統中把資料匯入進來,那麼,不用擔心,匯入時,會導致主鍵衝突.不足是GU

關於資料庫主和外來(終於弄懂啦)

一、什麼是主鍵、外來鍵: 關係型資料庫中的一條記錄中有若干個屬性,若其中某一個屬性組(注意是組)能唯一標識一條記錄,該屬性組就可以成為一個主鍵比如學生表(學號,姓名,性別,班級) 其中每個學生的學號是唯一的,學號就是一個主鍵課程表(課程編號,課程名,學分) 其中課程編號是

自制基於 Snips 和 Snowboy 的智慧音箱保護的隱私

一步步教你用現有硬體,構建隱私、開源、聲控的音箱。 Snips 的團隊已經開發了一款開源智慧揚聲器,它與 Spotify 一起執行。 音箱(或揚聲器)專注於音樂播放,並且可以輕鬆地通過說出您想要聽的東西,來控制您正在聽的音樂。它純粹只是一個演示專案,但是我們已經習慣了便利性,所以我們希望讓任何有興

使用redis生成資料庫主自增

資料庫自增什麼的麻煩死了,尤其是往後還需要考慮到分散式處理,然後偷了個懶,直接redis來搞起... 下面上程式碼 先定義個主鍵生成策略介面,往後方便擴充套件 /** * 定義主鍵生成策略介面,以便修改擴充套件 * @author LeiYong * */ pu

資料庫主、唯一、正規化

主鍵: 能夠唯一表示資料表中的每個記錄的【欄位】或者【欄位】的組合就稱為主碼(主鍵)。一個主鍵是唯一識別一個表的每一記錄,但這只是其作用的一部分,主鍵的主要作用是將記錄和存放在其他表中的資料進行關聯。在這一點上,主鍵是不同表中各記錄之間的簡單指標。主鍵約束就是確定表中的每

淺談資料庫主策略

資料庫表的主鍵很多童鞋都非常熟悉了,主鍵就是Primary Key,簡稱PK。 資料庫主鍵的作用是唯一標識一條記錄,所以在同一張表中,任意一條記錄的主鍵都是唯一的,不然,資料庫系統就無法根據主鍵直接定位記錄。 雖然資料庫系統本身對主鍵沒有特別的要求,但是,寫程式的時候,要考慮清楚使用什麼型別的主鍵。正

資料庫主、外來說明

外來鍵可以為NULL。只要引用的鍵不為PK,外來鍵就可以為NULLTop FOREIGN   KEY   約束並不僅僅只可以與另一表的   PRIMARY   KEY   約束相連結,它還可以定義為引用另一表的   UNIQUE   約束。FOREIGN   KEY   約

資料庫主選取策略|資料庫怎麼設計主

我們在建立資料庫的時候,需要為每張表指定一個主鍵,所謂主鍵就是能夠唯一標識表中某一行的屬性或屬性組,一個表只能有一個主鍵,但可以有多個候選索引。因為主鍵可以唯一標識某一行記錄,所以可以確保執行資料更新、刪除的時候不會出現張冠李戴的錯誤。當然,其它欄位可以輔助我們在執行這些操

Mycat之資料庫主自增長(資料庫增長的方式)-yellowcong

我們先來通過mycat實現一個自增長的主鍵,現在有兩個資料庫,mycat和mycat2,然後設定資料庫增長的方式,按照自增長的方式實現。自增長實現步驟:1、建立資料庫,2、建立mycat的自增長函式,3、插入需要自增長策略,4、配置schemal.xml,

程式控制資料庫主生成

主鍵的生成規則:日期(8)+型別(2)+序列(10) 第一個程式 /* *@(#)SequenceControl.java 2015年5月19日 * *Copyright 2015 Cbo,All rights reserved. */ package com.te

Mycat之資料庫主自增長(本地時間戳方式)-yellowcong

本地時間的方式,id自動生成的策略ID= 64 位二進位制 (42(毫秒)+5(機器 ID)+5(業務編碼)+12(重複累加),這個本地時間戳的方式是mycat預設的,所以大家在配置的時候,確認一下自己server.xml中的sequnceHandlerT

資料庫主、從(易懂版)

什麼是主鍵、外來鍵: 關係型資料庫中的一條記錄中有若干個屬性,若其中某一個屬性組(注意是組)能唯一標識一條記錄,該屬性組就可以成為一個主鍵 比如: 學生表(學號,姓名,性別,班級) 其中每個學生的學號是唯一的,學號就是一個主鍵 課程表(課程編號,課程名,學分) 其中課程編號是唯一的,課程編號就是一個主鍵 成績

如何保護的TNAS資料安全?

網際網路中的惡意***時有發生,TOS為您的TNAS提供了多種安全保護手段以避免您的TNAS遭受風險。您需要正確配置這些設定來提高您的裝置的安全等級。 1.正確設定登入密碼與埠;安全等級高的密碼應該在8位以上,幷包含大寫字母、小寫字母、數字以及特殊符號的組合。請勿使用簡易的密碼,否則您的裝置會受到安全的威脅

程式設計師究竟能幹多少年?169萬份資料分析告訴

程式設計師這個職業究竟可以幹多少年,在中國這片神奇的土地上,很多人都說只能幹到30歲,然後就需要轉型。在很多面試中,問到應聘者未來的規劃都能聽到好些應聘都說程式設計師是個青春飯。因為,大多數程式設計師都認為,程式設計這個事只能幹到30歲,最多35歲吧。每當我聽到這樣的言論,都讓我感到相當的無語。

資料學習:帶從多個維度分析大資料發展趨勢

如今“大資料”已不再是單純描述資料特徵的詞彙,而是一個多學科交融的熱點研究領域,其背後有著複雜和深刻的新理念。 今天我們帶大家從“技術、工程、科學和應用”這四個維度分析大資料的研究現狀與挑戰,探討未來研究的側重點和發展趨勢。 推薦下小編的大資料學習群;前面是251中間是956後面是502,不管