为什么要保护数据库主键?

数据库主键一般是有序自增主键,极易被爬虫抓取数据,作为应用开发者,这是不应该的,你辛辛苦苦收集的数据转眼之间被其他人给抓取了,是不是很大的损失?

Hashids的介绍

generate short unique ids from integers

理解为数字编码库即可,几乎支持市面上所有语言。

available in JavaScript, Ruby, Python, Java, Scala, PHP, Perl, Perl 6, Swift, Clojure, Objective-C, C, C++11, D, F#, Go, Erlang, Lua, Haskell, OCaml, Elixir, Rust, Smalltalk, ColdFusion, Groovy, Kotlin, Nim, VBA, Haxe, Crystal, Elm, ActionScript, CoffeeScript, Bash, R, TSQL, PostgreSQL and for

PHP使用

$hashids = new Hashids\Hashids('this is my salt');

$id = $hashids->encode(1, 2, 3);

$numbers = $hashids->decode($id);

注意

该库并不是一个加密库,所以不建议用来加密敏感数据,我们的数据库主键ID并不是业务上的敏感数据,所以这个没关系。

Yii2的使用

由于该编解码是独立与业务之外的,所以需要处理的地方在下面:

  1. 接收请求数据的自动解码
  2. 响应数据的自动编码(本文只针对JSON响应处理,有需要的可以添加ResponseFormatter自行处理)

这两个步骤不应该提现在控制器中,控制器拿到的数据是解码好的,响应的数据是原始数据,然后我们在响应中处理。

代码

助手类(HashidsHelper)



class HashidsHelper {

    public static function encode($id)

    {

        $hashids = new \Hashids\Hashids('salt',16);

        return $hashids->encode($id);

    }

    public static function decode($hash)

    {

        $hashids = new \Hashids\Hashids('salt',16);

        $data= $hashids->decode($hash);

        return empty($data)?null:$data;

    }

    public static function decodeArray(array $hashes)

    {

        return array_map([HashidsHelper::class, 'decode'], $hashes);

    }

/**

     * 递归编码

     * @param array $data

     */

    public static function encodeRecursive(array &$data)

    {

        foreach ($data as $key => &$value) {

            if (is_array($value)) {

                self::encodeRecursive($value);

                continue;

            }

            if (strpos($key, 'id') !== false && is_numeric($value)) {

                $data[$key] = static::encode($value);

            }

        }

    }

    /**

     * 递归解码

     * @param array $data

     */

    public static function decodeRecursive(array &$data)

    {

        foreach ($data as $key => &$value) {

            if (is_array($value)) {

                self::decodeRecursive($value);

                continue;

            }

            if (strpos($key, 'id') !== false) {

                if (is_string($value)) {

                    $id = static::decode($value);

                    $data[$key] = $id ?? $value;

                } elseif (is_array($value)) {

                    $data[$key] = static::decodeArray($value);

                }

            }

        }

    }

}

处理请求数据($_POST,$_PUT,$_GET)提交过来的数据

1.新建JsonParser继承Yii自带的JsonParser,代码如下



class JsonParser extends \yii\web\JsonParser

{

    /**

     * @inheritDoc

     */

    public function parse($rawBody, $contentType)

    {

        $data = parent::parse($rawBody, $contentType);

        if ($data !== null) {

            HashidsHelper::decodeRecursive($data);

        }

        return $data;

    }

}

2.新建Request集成Yii自带的Request,重写getQueryParams,代码如下:

    public function getQueryParams()

    {

        $data = parent::getQueryParams();

        if ($data !== null) {

            HashidsHelper::decodeRecursive($data);

        }

        return $data;

    }

3.配置web.php的components,更改为我们自定义的处理器

        'request' => [

            'class' => \app\components\Request::class,

            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation

            'cookieValidationKey' => '123456',

            'enableCsrfValidation' => false,

            'parsers' => [

                'application/json' => \app\components\web\JsonParser::class

            ]

        ],

处理响应数据

1.新建JsonResponseFormatter继承Yii的JsonResponseFormatter,代码如下:

class JsonResponseFormatter extends \yii\web\JsonResponseFormatter

{

    /**

     * @inheritDoc

     */

    public function format($response)

    {

        if ($response->data !== null) {

            HashidsHelper::encodeRecursive($response->data);

        }

        parent::format($response);

    }

}

2.配置web.php的components,替换response组件

        'response' => [

            'class' => \app\components\web\Response::class,

            'format' => Response::FORMAT_JSON,

            'formatters' => [

                'json' => [

                    'class' => \app\components\web\JsonResponseFormatter::class,

                    'prettyPrint' => YII_DEBUG

                ]

            ]

        ],

测试

1.SiteController添加方法

    public function actionA($corporation_id)

    {

        $data = Yii::$app->request->post();

        var_dump($data, $corporation_id);

    }

    public function actionB()

    {

        return [

            'app_id' => 1,

            'app' => [

                'app_id' => 2

            ]

        ];

    }

2.请求测试,这个加密过的hash读者可能解不开,因为我们用的salt不一样,替换为你自己的即可



POST /site/a?corporation_id=XaYeAV2q80pkB4KL

{

  "corporation_id": "XaYeAV2q80pkB4KL",

  "applet":{

    "id":"XaYeAV2q80pkB4KL",

    "appid":"xxxxxx"

  }

}

3.响应的内容如下:



array(2) {

  ["corporation_id"]=>

  int(1)

  ["applet"]=>

  array(2) {

    ["id"]=>

    int(1)

    ["appid"]=>

    string(6) "xxxxxx"

  }

}

int(1)

4.响应测试



GET /site/b

5.响应内容如下



{

    "app_id": "XaYeAV2q80pkB4KL",

    "app": {

        "app_id": "LOnMp3QR5lryDgRK"

    }

}

写在最后

不知道这个算不算AOP编程?个人觉得算,在业务逻辑之外处理,业务层对外部输入和自身输出是透明的(理解为业务层自己不知道加解密)。

本文核心在于两个递归方法,其他语言类似,像nodejs可以使用中间件来处理。

原文地址:https://segmentfault.com/a/1190000015704969

使用Hashids来保护你的数据库主键的更多相关文章

  1. Statement和PreparedStatement的特点 MySQL数据库分页 存取大对象 批处理 获取数据库主键值

    1 Statement和PreparedStatement的特点   a)对于创建和删除表或数据库,我们可以使用executeUpdate(),该方法返回0,表示未影向表中任何记录   b)对于创建和 ...

  2. 数据库主键到底是用自增长(INT)好还是UUID好

    其实针对使用自增长还是UUID,大家讨论最多的就是速度和存储空间,这里我加入了安全性和分布式,具体对比如下: 使用自增长做主键的优点:1.很小的数据存储空间2.性能最好3.容易记忆使用自增长做主键的缺 ...

  3. SQL 数据库主键 ,外键

    主键 数据库主键是指表中一个列或列的组合,其值能唯一地标识表中的每一行.这样的一列或多列称为表的主键,通过它可强制表的实体完整性.当创建或更改表时可通过定义 PRIMARY KEY约束来创建主键.一个 ...

  4. c#生成唯一编号方法记录,可用数据库主键 唯一+有序

    数据库主键目前主要有两种: a.自增数值型 优:占用空间小,插入快,有序对索引友好,易懂 缺:多数据库迁移会有重复键值问题,有可能爆表 b.GUID 优:多数据库唯一 缺:占用空间大,无序对索引不友好 ...

  5. SQL Server数据库主键与索引的几点区别

    我们在使用SQL Server数据库的时候常常会创建主键和索引,那么主键和索引到底有什么样的不同呢?本文我们主要介绍了主键和索引的区别. 主键和索引的区别如下: 主键是索引,但索引不一定是主键. 主键 ...

  6. MySQL数据库主键设计原则

    目录 1. 主键定义... 5 2. 主键设计原则... 5 2.1 确保主键的无意义性... 5 2.2 采用整型主键... 5 2.3 减少主键的变动... 5 2.4 避免重复使用主键... 6 ...

  7. 数据库主键跟外键+修改mysql的密码

    update myspl.user set password=PASSWORD(设置的密码)  where user='root'; 如果修改错误:先执行use mysple;再重复上面的代码. 一. ...

  8. SqlServer 开启或关闭数据库主键自增

    可用作删除一行主键数据库,在还原数据行,或者删掉后,被伤处的主键还可以利用 --开启当前表的可复制功能,仅在当前回话中有效 SET IDENTITY_INSERT  dbo.PDAUserInfo O ...

  9. 关于MySql数据库主键及索引的区别

    一.什么是索引?索引用来快速地寻找那些具有特定值的记录,所有MySQL索引都以B-树的形式保存.如果没有索引,执行查询时MySQL必须从第一个记录开始扫描整个表的所有记录,直至找到符合要求的记录.表里 ...

随机推荐

  1. vue中的列表项删除操作

    <script> Vue({ data: { orders: [] }, created() { $.get( { url: 'orders', dataType: 'json' }) . ...

  2. bzoj 2986: Non-Squarefree Numbers【容斥+莫比乌斯函数】

    看到\( 10^10 \)的范围首先想到二分,然后把问题转化为判断\( [1,n] \)内有多少个是某个质数的平方和的数. 所以应该是加上是一个质数的平方的个数减去是两个质数的平方的个数加上是三个质数 ...

  3. P4575 [CQOI2013]图的逆变换

    传送门 如果新的图里存在边\((u,v)\),那么说明原图中\(u\)的终点和\(v\)的起点是同一个点 于是可以对新图中的每个点维护它的起点和终点,如果有一条边就把对应两个应该相等的点用并查集连起来 ...

  4. hihoOffer收割练习20题目2

    题目2 : SCI表示法 时间限制:10000ms 单点时限:1000ms 内存限制:256MB 描述 每一个正整数 N 都能表示成若干个连续正整数的和,例如10可以表示成1+2+3+4,15可以表示 ...

  5. C#DataTable学习心得[转]

    一.DataSet.DataTable.DataRow.DataColumn 1] 在DataSet中添加DataTable DataSet.Tables.Add(DataTable) 实例: Dat ...

  6. 转 叫板OpenStack:用Docker实现私有云

    http://www.cnblogs.com/alexkn/p/4239457.html 看到各大厂商的云主机,会不会觉得高大上?目前大公司的主流方案是OpenStack,比如某个公司的私有云

  7. ASP.NET URLRewriter重写

    URLRewriter重写是微软官方出的第三方重写插件 下载地址:http://download.csdn.net/detail/ysn1314/5421587 下载后在项目中添加引用,然后再配置文件 ...

  8. Oracle对表空间无权限

    有的时候我们在Oracle数据库中对执行insert.update之类的语句时会出错,Oracle说我们对表空间无权限.执行下面的语句就可以修改用户对表空间的权限了. 执行语句: alter user ...

  9. JDK集合框架--综述

       接下来的几篇博客总结一下对jdk中常用集合类知识,本篇博客先整体性地介绍一下集合及其主要的api: 从整体上来说,集合分两大类collection和map: 首先来看看Collection: c ...

  10. (六)Mybatis总结之延迟加载

    应用场景: i.假如一个用户他有N个订单(N>=1000),那么如果一次性加载的话,一个用户对象的订单集合OrderList里面就会有1000多个Order的对象.计算:一个订单对象里面数据有多 ...