通过 GET 参数传递原始 base64 编码字符串是否安全?
10 回答
还有其他 base64 规范。(请参阅此处的表格了解详情)。但基本上你需要 65 个字符来编码:26 个小写字母 + 26 个大写字母 + 10 个数字 = 62。
您还需要两个 ['+', '/'] 和一个填充字符 '='。但是它们都不是 url 友好的,所以只需为它们使用不同的字符就可以了。上图中的标准字符是 ['-', '_'],但是您可以使用其他字符,只要您将它们解码相同,并且不需要与他人共享。
我建议只编写自己的助手。就像这些来自base64_encode 的 php 手册页上的评论:
function base64_url_encode($input) {
return strtr(base64_encode($input), '+/=', '._-');
}
function base64_url_decode($input) {
return base64_decode(strtr($input, '._-', '+/='));
}
不,您需要对其进行 url 编码,因为 base64 字符串可以包含“+”、“=”和“/”字符,这些字符可能会改变数据的含义——看起来像一个子文件夹。
有效的 base64 字符如下。
ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=
@joeshmo 或者,您可以直接对base64 编码的字符串进行urlencode,而不是编写辅助函数。这将与您的辅助函数完全相同,但不需要两个额外的函数。
$str = 'Some String';
$encoded = urlencode( base64_encode( $str ) );
$decoded = base64_decode( urldecode( $encoded ) );
介绍性说明我倾向于发表一些澄清,因为这里的一些答案有点误导(如果不是不正确的话)。
答案是否定的,您不能简单地在 URL 查询字符串中传递 base64 编码参数,因为加号会转换为 $_GET 全局数组中的 SPACE。换句话说,如果您发送test.php?myVar=stringwith+sign到
//test.php
print $_GET['myVar'];
结果将是:
stringwith sign
解决此问题的简单方法是在urlencode()
将 base64 字符串添加到查询字符串之前将其添加到查询字符串以将 +、= 和 / 字符转义为 %## 代码。例如,urlencode("stringwith+sign")
返回stringwith%2Bsign
当您处理该操作时,PHP 会在填充 $_GET 全局变量时自动解码查询字符串。例如,如果我发送test.php?myVar=stringwith%2Bsign到
//test.php
print $_GET['myVar'];
结果是:
stringwith+sign
您不希望urldecode()
返回的 $_GET 字符串因为 + 将被转换为空格。
换句话说,如果我将相同的test.php?myVar=stringwith%2Bsign发送到
//test.php
$string = urldecode($_GET['myVar']);
print $string;
结果出乎意料:
stringwith sign
输入是安全rawurldecode()
的,但是,它是多余的,因此是不必要的。
是和不是。
base64 的基本字符集在某些情况下可能会与 URL 中使用的传统约定发生冲突。但是许多 base64 实现允许您更改字符集以更好地匹配 URL,甚至附带一个(如 Python 的urlsafe_b64encode()
)。
您可能面临的另一个问题是 URL 长度的限制,或者更确切地说 - 缺乏这样的限制。因为标准没有指定任何最大长度,浏览器、服务器、库和其他使用 HTTP 协议的软件可能会定义自己的限制。
它是一个你可以尝试的 base64url 编码,它只是上面 joeshmo 代码的扩展。
function base64url_encode($data) {
return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}
function base64url_decode($data) {
return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));
}
我不认为这是安全的,因为例如“=”字符用于原始 base 64 并且还用于将参数与 HTTP GET 中的值区分开来。
理论上,是的,只要您不超过客户端或服务器的最大 url 和/或查询字符串长度。
在实践中,事情会变得有点棘手。例如,如果值恰好包含“on”并且您在结尾的“==”中留下,它可以在 ASP.NET 上触发 HttpRequestValidationException。
对于 url 安全编码,就像base64.urlsafe_b64encode(...)
在 Python 中一样,下面的代码对我来说 100% 有效
function base64UrlSafeEncode(string $input)
{
return str_replace(['+', '/'], ['-', '_'], base64_encode($input));
}
如果您安装了钠扩展并且需要对二进制数据进行编码,您可以使用sodium_bin2base64
允许您选择 url 安全变量的功能。
例如编码可以这样完成:
$string = sodium_bin2base64($binData, SODIUM_BASE64_VARIANT_URLSAFE);
和解码:
$result = sodium_base642bin($base64String, SODIUM_BASE64_VARIANT_URLSAFE);
有关使用的更多信息,请查看 php 文档:
https://www.php.net/manual/en/function.sodium-bin2base64.php https://www.php.net/manual/en/function.sodium-base642bin.php