[...]Links encriptados no PHP » Carlos André Ferrari[...]…

[...]Links encriptados no PHP » Carlos André Ferrari[...]…

[...]Links encriptados no PHP » Carlos André Ferrari[...]…

[...]Links encriptados no PHP » Carlos André Ferrari[...]…

[...]Links encriptados no PHP » Carlos André Ferrari[...]…

antonio

Eu não havia reparado que o seu esquema na verdade possui duas etapas.
1. É calculado um “hash” que verifica a integridade do query todo.
2. É calculada uma chave para o XOR para criptografar a URL.

Eu estava me referindo apenas à segunda etapa. A segunda etapa é meramente obscuridade. É bastante fácil de quebrar. O que é “seguro” aqui é o passo 2, o “checksum”. Que é na verdade o que eu estava sugerindo no primeiro post, sem ter atentado para o fato de que você já tinha feito. Desculpe pelo mal entendido.

De qualquer forma, queria ainda sugerir umas coisas:
* Não economize com substr(crypt(json_encode($p), Link::$chave), 0, 5).
** Utilize: crypt(json_encode($p), Link::$chave).
** Justificativa: é difícil embasar a decisão “cinco é suficiente” com algum argumento científico…

* Não utilize uniqid() quando o que você quer é um valor aleatório (difícil de prever).
** uniqid() é para quando você quer um valor único, mas não necessariamente difícil de prever! Não é isso o que você quer. O uniqid() é fácil de prever. Se o sistema em algum outro momento deixar o usuário saber o valor de um uniqid(), os outros serão muito parecidos e portanto fáceis de prever.
** O login (id) é único. A senha não precisa ser única!

* A menos que seja uma “one time key”, nunca use XOR pra criptografar nada.
** Sei que esse post é didático.
** O problema é que se K é a chave, e você sabe A e B, então A xor K = B —> B xor A = K!! Demonstre.

No mais, seu código (não só esse) é muito bom.

Continue firme, e parabéns pelo blog,
André Caldas.