Forum PHP.pl

Hejka,
To znowu ja, wasz upierdliwy amator.
Dość długo nic nie pisałem, nadszedł jednak ten .... dzień że muszę zapytać. Kopałem trochę po sieci ale nie bardzo wykopałem co chciałem.
potrzebuję zrobić coś po stronie klienta w js i z czym nie do końca mogę sobie poradzić za to po stronie servera poradziłem sobie bez problemu.

[PHP] pobierz, plaintext 
// funkcja w php
 
 private function getImgproxy($link,$width,$height,$pafka){
  // key & salt
   $key = 'mój klucz kodowania';
   $salt = 'mój salt';
   $vpsLink = base64_encode('https://imgprocessor.com/'); 
  // key compression
  $keyBin = pack("H*" , $key);
  if(empty($keyBin)) {
   die('Key expected to be hex-encoded string');
  }
 
  // key compression
  $saltBin = pack("H*" , $salt);
  if(empty($saltBin)) {
   die('Salt expected to be hex-encoded string');
  }
 
  $resize = 'fit';
  $gravity = 'no';
  $enlarge = 0;
  $extension = 'png';
  $url = $link;
 
  // processing
  $encodedUrl = rtrim(strtr(base64_encode($url), '+/', '-_'), '=');
  $path = sprintf("/%s/%d/%d/%s/%d/%s.%s", $resize, $width, $height, $gravity, $enlarge, $encodedUrl, $extension);
  $signature = rtrim(strtr(base64_encode(hash_hmac('sha256', $saltBin.$path, $keyBin, true)), '+/', '-_'), '=');
  $go = $signature.$path;
 
  return base64_decode($vpsLink).$go;
 }
[PHP] pobierz, plaintext 

teraz chciałem to samo zrobić po stronie klienta w związku z czym zrobiłem:

[HTML] pobierz, plaintext 
	function imgProxy (data) {
		var key = 'mój klucz kodowania';
		var salt = 'mój salt';
		var vpsLink = encodedString('https://imgprocessor.com/');
// nie wiem jak się zabrać za to poniżej ... 
		var keyBin = ... pack("H*" , klucz);...
		if(!!keyBin) {console.log('Key expected to be hex-encoded string');}
		var saltBin = ... pack("H*" , salt);...
		if(!!saltBin) {console.log('Salt expected to be hex-encoded string');}
 
		for (i = 0; i < data.response.product_data.length; i++) {
			var resize = 'fit';
			var gravity = 'no';
			var enlarge = 0;
			var extension = 'png';
			var url = $link;
			var product = data.response.product_data[i];
				product['image'] = null;
			console.log(product['image']);
// i tu będzie reszta czyli zbudowany url - też jeszcze nie wiem do końca ale pracuję nad tym - gdyby ktoś mi podpowiedział jak dokonać "pack'a" ?
		}
	}
[HTML] pobierz, plaintext 

Ten post edytował phpamator 19.12.2017, 15:50:55

Zacznij od tego że publiczne udostępnienie soli i klucza w js to głupota.

Prawda Vikingu, to kolejna rzecz do zrobienia. Zdaję sobie sprawę z tego (IMG:style_emoticons/default/smile.gif)
będzie to rozwiązane ... jakoś ... ajax

Ten post edytował phpamator 19.12.2017, 16:06:21

a jak ajax niby to rozwiaze? Ze niby ajax ci zwroci ten sol i klucz? Toz to nadal bedzie publiczne wowczas.

Co sugerujesz nospor, jakie rozwiązanie ?
Co mogę z tym zrobić żeby klucz i salt nie były publiczne ?

skoro zamierzales slac ajax tak czy siak, to czemu nie mozesz slac tego ajax i w php jak czlowiek tego zrobic a ajax zwroci ci rezult tylko tego wszystkiego?

spróbuję ale obawiam się, że spowoduje to spore opóźnienia ....
chociaż może nie będzie aż tak tragicznie, w każdym razie chciałem to zrobić po stronie klienta, nawet gdybym miał usunąć dodatkowe szyfrowanie czegokolwiek
ale wróćmy do początku bo mimo wszystko chciałbym wiedzieć jak to zrobić niezależnie czy to głupie czy nie i czy bezpieczne czy nie.
Chodzi mi bardziej o to jak to zrobić niż z tego korzystać a potem ewentualnie rozwiązywać inne problemy w tym bezpieczeństwa.



_______________________________________________________________________________

Na marginesie dodam, że spotkałem takich kilka "profesjonalnych" skyptów w których klucze dostępu
"specjaliści" umieścili jako zmienne w skrypcie i każdy mógł sobie użyć do wyszukiwarki adresów pocztowych (IMG:style_emoticons/default/smile.gif)
Tak więc amatorowi ... wybaczcie (IMG:style_emoticons/default/smile.gif)

Ten post edytował phpamator 19.12.2017, 18:02:03