为什么要保护数据库主键?

数据库主键一般是有序自增主键,极易被爬虫抓取数据,作为应用开发者,这是不应该的,你辛辛苦苦收集的数据转眼之间被其他人给抓取了,是不是很大的损失?

Hashids的介绍

generate short unique ids from integers

理解为数字编码库即可,几乎支持市面上所有语言。

available in JavaScript, Ruby, Python, Java, Scala, PHP, Perl, Perl 6, Swift, Clojure, Objective-C, C, C++11, D, F#, Go, Erlang, Lua, Haskell, OCaml, Elixir, Rust, Smalltalk, ColdFusion, Groovy, Kotlin, Nim, VBA, Haxe, Crystal, Elm, ActionScript, CoffeeScript, Bash, R, TSQL, PostgreSQL and for

PHP使用

$hashids = new Hashids\Hashids('this is my salt');

$id = $hashids->encode(1, 2, 3);

$numbers = $hashids->decode($id);

注意

该库并不是一个加密库,所以不建议用来加密敏感数据,我们的数据库主键ID并不是业务上的敏感数据,所以这个没关系。

Yii2的使用

由于该编解码是独立与业务之外的,所以需要处理的地方在下面:

  1. 接收请求数据的自动解码
  2. 响应数据的自动编码(本文只针对JSON响应处理,有需要的可以添加ResponseFormatter自行处理)

这两个步骤不应该提现在控制器中,控制器拿到的数据是解码好的,响应的数据是原始数据,然后我们在响应中处理。

代码

助手类(HashidsHelper)



class HashidsHelper {

    public static function encode($id)

    {

        $hashids = new \Hashids\Hashids('salt',16);

        return $hashids->encode($id);

    }

    public static function decode($hash)

    {

        $hashids = new \Hashids\Hashids('salt',16);

        $data= $hashids->decode($hash);

        return empty($data)?null:$data;

    }

    public static function decodeArray(array $hashes)

    {

        return array_map([HashidsHelper::class, 'decode'], $hashes);

    }

/**

     * 递归编码

     * @param array $data

     */

    public static function encodeRecursive(array &$data)

    {

        foreach ($data as $key => &$value) {

            if (is_array($value)) {

                self::encodeRecursive($value);

                continue;

            }

            if (strpos($key, 'id') !== false && is_numeric($value)) {

                $data[$key] = static::encode($value);

            }

        }

    }

    /**

     * 递归解码

     * @param array $data

     */

    public static function decodeRecursive(array &$data)

    {

        foreach ($data as $key => &$value) {

            if (is_array($value)) {

                self::decodeRecursive($value);

                continue;

            }

            if (strpos($key, 'id') !== false) {

                if (is_string($value)) {

                    $id = static::decode($value);

                    $data[$key] = $id ?? $value;

                } elseif (is_array($value)) {

                    $data[$key] = static::decodeArray($value);

                }

            }

        }

    }

}

处理请求数据($_POST,$_PUT,$_GET)提交过来的数据

1.新建JsonParser继承Yii自带的JsonParser,代码如下



class JsonParser extends \yii\web\JsonParser

{

    /**

     * @inheritDoc

     */

    public function parse($rawBody, $contentType)

    {

        $data = parent::parse($rawBody, $contentType);

        if ($data !== null) {

            HashidsHelper::decodeRecursive($data);

        }

        return $data;

    }

}

2.新建Request集成Yii自带的Request,重写getQueryParams,代码如下:

    public function getQueryParams()

    {

        $data = parent::getQueryParams();

        if ($data !== null) {

            HashidsHelper::decodeRecursive($data);

        }

        return $data;

    }

3.配置web.php的components,更改为我们自定义的处理器

        'request' => [

            'class' => \app\components\Request::class,

            // !!! insert a secret key in the following (if it is empty) - this is required by cookie validation

            'cookieValidationKey' => '123456',

            'enableCsrfValidation' => false,

            'parsers' => [

                'application/json' => \app\components\web\JsonParser::class

            ]

        ],

处理响应数据

1.新建JsonResponseFormatter继承Yii的JsonResponseFormatter,代码如下:

class JsonResponseFormatter extends \yii\web\JsonResponseFormatter

{

    /**

     * @inheritDoc

     */

    public function format($response)

    {

        if ($response->data !== null) {

            HashidsHelper::encodeRecursive($response->data);

        }

        parent::format($response);

    }

}

2.配置web.php的components,替换response组件

        'response' => [

            'class' => \app\components\web\Response::class,

            'format' => Response::FORMAT_JSON,

            'formatters' => [

                'json' => [

                    'class' => \app\components\web\JsonResponseFormatter::class,

                    'prettyPrint' => YII_DEBUG

                ]

            ]

        ],

测试

1.SiteController添加方法

    public function actionA($corporation_id)

    {

        $data = Yii::$app->request->post();

        var_dump($data, $corporation_id);

    }

    public function actionB()

    {

        return [

            'app_id' => 1,

            'app' => [

                'app_id' => 2

            ]

        ];

    }

2.请求测试,这个加密过的hash读者可能解不开,因为我们用的salt不一样,替换为你自己的即可



POST /site/a?corporation_id=XaYeAV2q80pkB4KL

{

  "corporation_id": "XaYeAV2q80pkB4KL",

  "applet":{

    "id":"XaYeAV2q80pkB4KL",

    "appid":"xxxxxx"

  }

}

3.响应的内容如下:



array(2) {

  ["corporation_id"]=>

  int(1)

  ["applet"]=>

  array(2) {

    ["id"]=>

    int(1)

    ["appid"]=>

    string(6) "xxxxxx"

  }

}

int(1)

4.响应测试



GET /site/b

5.响应内容如下



{

    "app_id": "XaYeAV2q80pkB4KL",

    "app": {

        "app_id": "LOnMp3QR5lryDgRK"

    }

}

写在最后

不知道这个算不算AOP编程?个人觉得算,在业务逻辑之外处理,业务层对外部输入和自身输出是透明的(理解为业务层自己不知道加解密)。

本文核心在于两个递归方法,其他语言类似,像nodejs可以使用中间件来处理。

原文地址:https://segmentfault.com/a/1190000015704969

使用Hashids来保护你的数据库主键的更多相关文章

  1. Statement和PreparedStatement的特点 MySQL数据库分页 存取大对象 批处理 获取数据库主键值

    1 Statement和PreparedStatement的特点   a)对于创建和删除表或数据库,我们可以使用executeUpdate(),该方法返回0,表示未影向表中任何记录   b)对于创建和 ...

  2. 数据库主键到底是用自增长(INT)好还是UUID好

    其实针对使用自增长还是UUID,大家讨论最多的就是速度和存储空间,这里我加入了安全性和分布式,具体对比如下: 使用自增长做主键的优点:1.很小的数据存储空间2.性能最好3.容易记忆使用自增长做主键的缺 ...

  3. SQL 数据库主键 ,外键

    主键 数据库主键是指表中一个列或列的组合,其值能唯一地标识表中的每一行.这样的一列或多列称为表的主键,通过它可强制表的实体完整性.当创建或更改表时可通过定义 PRIMARY KEY约束来创建主键.一个 ...

  4. c#生成唯一编号方法记录,可用数据库主键 唯一+有序

    数据库主键目前主要有两种: a.自增数值型 优:占用空间小,插入快,有序对索引友好,易懂 缺:多数据库迁移会有重复键值问题,有可能爆表 b.GUID 优:多数据库唯一 缺:占用空间大,无序对索引不友好 ...

  5. SQL Server数据库主键与索引的几点区别

    我们在使用SQL Server数据库的时候常常会创建主键和索引,那么主键和索引到底有什么样的不同呢?本文我们主要介绍了主键和索引的区别. 主键和索引的区别如下: 主键是索引,但索引不一定是主键. 主键 ...

  6. MySQL数据库主键设计原则

    目录 1. 主键定义... 5 2. 主键设计原则... 5 2.1 确保主键的无意义性... 5 2.2 采用整型主键... 5 2.3 减少主键的变动... 5 2.4 避免重复使用主键... 6 ...

  7. 数据库主键跟外键+修改mysql的密码

    update myspl.user set password=PASSWORD(设置的密码)  where user='root'; 如果修改错误:先执行use mysple;再重复上面的代码. 一. ...

  8. SqlServer 开启或关闭数据库主键自增

    可用作删除一行主键数据库,在还原数据行,或者删掉后,被伤处的主键还可以利用 --开启当前表的可复制功能,仅在当前回话中有效 SET IDENTITY_INSERT  dbo.PDAUserInfo O ...

  9. 关于MySql数据库主键及索引的区别

    一.什么是索引?索引用来快速地寻找那些具有特定值的记录,所有MySQL索引都以B-树的形式保存.如果没有索引,执行查询时MySQL必须从第一个记录开始扫描整个表的所有记录,直至找到符合要求的记录.表里 ...

随机推荐

  1. GDI+ 加载PNG图片

    #include <GdiPlus.h>#pragma comment(lib, "GdiPlus.lib")using namespace Gdiplus; clas ...

  2. 【react native】rn踩坑实践——从输入框“们”开始

    因为团队技术栈变更为react native,所以开始写起了rn的代码,虽然rn与react份数同源,但是由于有很多native有关的交互和变动,实际使用还是碰到蛮多问题的,于是便有了这个系列,本来第 ...

  3. flask框架基础入门一

    首先:flask是一个基于Werkzeug,Jinja2的一个python的微服务框架. 安装flask框架: pip install flask 一个最小的最简单的flask应用: from fla ...

  4. python优缺点分析及python种类

    Python的缺点: 相较于其它类型的语言可能运行速度上会略差.C语言的运行性能速度上最好,因为C最接近计算机底层. Python的优点: 大数据处理,有专门的功能模块,比较方便. Linux自带Py ...

  5. composer 加快更新速度

    一.使用代理 set http_proxy=http://127.0.0.1:8087 //Windows export http_proxy=http://127.0.0.1:8087 //linu ...

  6. ORACLE 如何查看存储过程的定义

    ORACLE 如何查看存储过程的定义   相关的数据字典 USER_SOURCE 用户的存储过程.函数的源代码字典 DBA_SOURCE 整个系统所有用户的存储过程.函数的源代码字典 ALL_SOUR ...

  7. ScrollView属性

    1.文本内容过长,一个屏幕显示不下,这时候就把显示文本的 TextView包裹在ScrollView里面,可以做到滚动下滑查看的功能 2.隐藏滚动条 标签属性设置android:scrollbars= ...

  8. Git ---创建和切换分支

    ······································································"天下武功,唯快不破" git分支: g ...

  9. iOS Programming Web Services and UIWebView

    iOS Programming Web Services and UIWebView The work is divided into two parts. The first is connecti ...

  10. iOS Programming View and View Hierarchy 视图和视图等级

    iOS Programming  View and View Hierarchy 视图和视图等级 1.1(1)File → New → Project.. From the iOS section, ...