Area privada: Encriptación/desencriptación de datos para ser pasados por GET

Hola a todos!

Bueno, la idea es que quiero hacer una area privada tipo CMS con acceso limitado por usuario y contraseña. No quiero usar sesiones puesot que quiero que sea compatiblke a navegadores q no tengan habilitadas las cookies y quiero una mínima seguridadad.

Mi idea es encriptar la fecha actual al entrar en cada página y pasarla por get en cada enlace de forma que al llegar a la siguiente pàgina, desencriptamos la fecha y si la diferencia con al fecha actual es mayor de X minutos pedimos que se vuelva a autentificar.

De esta forma conseguiría que una url no valiera mas que unos minutos para acceder a la area privada y conseguiria un efecto parecido al del uso de sesiones.

He buscado por ahi algoritmos de encriptación usando mycript y todos encriptan los datos de forma "sucia". Me explioco, encriptan una cadena de texto con carácteres extraños dificiles de pasar por GET y lo que a mi me gustaría sería una encriptación usando solo "número y letras". Parecido al resultado que obtenemos al usar md5() pero con posibilidad de desencriptar.

Pues bién, a ver si alguno de ustedes sabe de algun algoritmo, función o tiene alguna otra idea para llevar a cabo el proyecto.

Muchas gracias y saludos!

Creo que la función base64_encode te puede servir y base64_decode lo desencripta... espero te ayude ;).

Gracias, se acerca bastante a lo que quería, elproblema es que necesitaría un algoritmo de encriptación bajo clave, de forma que no fuera "tan facil" enganyar al sistema proporcionandole la fecha actual encriptada para acceder a la página...

¿Alguna otra idea?

Gracias de nuevo.

Para estos casos no se "codifica" o "encripta" el URL para pasar por el datos "sensibles": contraseñas .. etc.

Lo que se usa más bien son: Sesiones (www.php.net/session)

De esta forma tú guardas en el "servidor" tus variables y las llamas en tus scripts cuando las necesites. El sistema de "sesiones" ya asocia "el cliente" que las pide con sus datos que le pertenencen y que son únicos a la sesión activa (cliente).

Para que las sesiones funcionen, puedes "propagar" el SID (el dato que une al "cliente" con el "servidor" y sus datos correspondientes) por el URL sólo o por Cookies (siendo más seguro esta última opción).

De hecho "más o menos" tu propuesta es una "sesión" en sí .. (salvo que los datos los almacenamos en el servidor y sólo pasamos una "referencia" de donde los almacenamos o como los registramos: el dichoso "SID").

No sé por qué tanto "Miedo" a que el usuario no tenga habilitadas las cookies, es cosa de -avisarle- que habilite o autorize las cookies que -tú- aplicación va a generar y haciendo incapié que será por su -seguridad-.

Un saludo,

Muchas gracias,

No sabia que pudiera usar sessiones sin usar cookies pasando el parámetro SID y mucho menos que PHP ya se ha encargara de todo comprobando si habia cookie o no y rellenando SID con el id si no estan activas...

Gracias de nuevo!
Saludos.

Bueno, PHP no hace eso exactamente en el uso de sesiones .. Lo que pasa que mucha gente propaga el SID en cookies (session.use_use_cookies = ON) y también deja que PHP sobre-escriba el URL para insertar el SID (session.use_trans_sid = ON) .. Como lo que predomina o primero mira PHP es la "cookie" si viene con un SID válido .. así "dicen" que PHP crea el SID en el URL o no .. pero realmente no es así .. Se debe usar -uno u otro- método de propagación del SID: cookies o URL (de hecho por el URL tiene algunos detalles .. además de los própios de seguridad).

Un saludo,

Ok, gracias por la aclaración! Muy agradecido.

Saludos