Шифрование и расшифровка строковых полей справочников методом Виженера (с улучшениями)




Принцип обмена данными из 1С с сайтом (на MySQL) и выдачи (публикации) этих данных по запросу.
PHP-Скрипт автоматической загрузки данных из файла данных в формате CSV в базу данных сайта работающего на WordPress.

В продолжение моей темы: 1С:Альфа-Авто Автосалон Автосервис: обмен с сайтом.
С помощью данного скрипта можно загружать в автоматическом режиме, по расписанию, данные сервисных книжек (ремонтов авто) из 1С:Альфа-Авто Автосалон Автосервис.
Также можно загружать данные в ручном режиме: для этого делается скрытая страница, где размещается специальная кнопка.
Комментарии размещенные внутри скрипта разъяснят логику и порядок действия.
Комментарии с "/////    echo" использовались для отладки.
Дополнительно создана таблица для журналирования результатов загрузки данных.
Скрипт включает в себя защиту от SQL инъекций (думаю безопасность соблюдена в полной мере).
В кратце:
1. Пишется скрипт, который запускает этот.
2. Создается регламентное задание в WordPress, по которому запускается скрипт из п.1. 
3. Этот скрипт осуществляет проверку на существование файла обмена в папке.
4. Если данные не новые, загрузка не производится.
5. Если данные новые, очищается таблица сервисных книжек.
6. Загружаются новые данные.

Собственно сам скрипт:

<?php // Полная загрузка сервисных книжек, создан 2024-01-05 12:44:55

global $wpdb2;
global $failure;
global $file_hist;

/////  echo '<H2><b>Старт загрузки</b></H2><br>';

$failure=FALSE;
//подключаемся к базе
$wpdb2 = include_once 'connection.php'; ; // подключаемся к MySQL
// если не удалось подключиться, и нужно оборвать PHP с сообщением об этой ошибке
if (!empty($wpdb2->error))
{
/////   echo '<H2><b>Ошибка подключения к БД, завершение.</b></H2><br>';
$failure=TRUE;
wp_die( $wpdb2->error );
}

$m_size_file=0;
$m_mtime_file=0;
$m_comment='';
/////проверка существования файлов выгрузки из 1С
////файл выгрузки сервисных книжек
$file_hist = ABSPATH.'/_1c_alfa_exchange/AA_hist.csv';
if (!file_exists($file_hist))
{
/////   echo '<H2><b>Файл обмена с сервисными книжками не существует.</b></H2><br>';
$m_comment='Файл обмена с сервисными книжками не существует';
$failure=TRUE;
}

/////инициируем таблицу лога
/////если не существует файла то возврат и ничего не делаем
if ($failure){
///включает защиту от SQL инъекций и данные можно передавать как есть, например: $_GET['foo']
/////   echo '<H2><b>Попытка вставить запись в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>$m_comment));
wp_die();
/////    echo '<H2><b>Возврат в начало.</b></H2><br>';
return $failure;
}
/////проверка лога загрузки, что бы не загружать тоже самое
$masiv_data_file=stat($file_hist);   ////передаем в массив свойство файла
$m_size_file=$masiv_data_file[7];    ////получаем размер файла
$m_mtime_file=$masiv_data_file[9];   ////получаем дату модификации файла
////создаем запрос на получение последней удачной загрузки
////выбираем по штампу времени создания (редактирования) файла загрузки AA_hist.csv, $m_mtime_file

/////   echo '<H2><b>Размер файла: '.$m_size_file.'</b></H2><br>';
/////   echo '<H2><b>Штамп времени файла: '.$m_mtime_file.'</b></H2><br>';
/////   echo '<H2><b>Формирование запроса на выборку из лога</b></H2><br>';
////препарируем запрос
$text_zaprosa=$wpdb2->prepare("SELECT * FROM `vin_logs` WHERE `last_mtime_upload` = %s", $m_mtime_file);
$results=$wpdb2->get_results($text_zaprosa);

if ($results)
{   foreach ( $results as $r)
{
////если штамп времени и размер файла совпадают, возврат
if (($r->last_mtime_upload==$m_mtime_file) && ($r->last_size_upload==$m_size_file))
{////echo '<H2><b>Возврат в начало, т.к. найдена запись в логе.</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>$m_mtime_file,'last_size_upload'=>$m_size_file,'comment'=>'Загрузка отменена, новых данных нет, т.к. найдена запись в логе.'));
wp_die();
return $failure;
}
}
}
////если данные новые, пишем в лог запись о начале загрузки
/////echo '<H2><b>Попытка вставить запись о начале загрузки в лог таблицу</b></H2><br>';
$insert_fail_zapros=$wpdb2->insert('vin_logs', array('time_stamp'=>time(),'last_mtime_upload'=>0, 'last_size_upload'=>$m_size_file, 'comment'=>'Начало загрузки'));

////очищаем таблицу
$clear_tbl_zap=$wpdb2->prepare("TRUNCATE TABLE %s", 'vin_history');
$clear_tbl_zap_repl=str_replace("'","`",$clear_tbl_zap);
$results=$wpdb2->query($clear_tbl_zap_repl);
/////   echo '<H2><b>Очистка таблицы сервисных книжек</b></H2><br>';
if (empty($results))
{
/////   echo '<H2><b>Ошибка очистки таблицы книжек, завершение.</b></H2><br>';
//// если очистка не удалась, возврат
$failure=TRUE;
wp_die();
return $failure;
}

////загружаем данные
$table='vin_history';         // Имя таблицы для импорта
//$file_hist Имя CSV файла, откуда берется информация     // (путь от корня web-сервера)
$delim=';';          // Разделитель полей в CSV файле
$enclosed='"';      // Кавычки для содержимого полей
$escaped='\

16 Comments

  1. Поручик

    Интересно. Где бы это приспособить?

    Reply
  2. NikitaXa

    (1) Поручик, например, временное скрытие конфиденциальной информации в базе.

    Reply
  3. oleg_km

    У меня в базе хранятся зашифрованные пароли от всякий банк-клиентов так, чтобы их не мог прочитать ни администратор, ни программист. Но я использую для всякий шифрований .NET

    Reply
  4. altu71

    А не подскажите, сколько времени занимает шифрование/расшифровка этим методом на значительном объеме данных? Т.е. запись 10 000 элементов справочника без шифрования столько то, а этих же данных, но с шифрованием — столько то. Т.е. хочется узнать накладные расходы времени на шифрование.

    Reply
  5. NikitaXa

    (4) altu71, накладные расходы на шифрование будут напрямую зависеть от оборудования. Я делал замеры (5 циклов шифрования/расшифровки) на справочнике объемом около 6.000. Общее время записи элементов справочника плюс/минус равно (точность до секунды) общему времени записи элементов этих же элементов с шифрованием двух полей (номер телефона и электронная почта). Т..е .время шифрования незначительно по сравнению с временем записи элемента справочника в БД. Если скорость шифрования справочника неудовлетворительна из-за длительной записи элементов справочника, то всегда можно распараллелить этот процесс через фоновые задания.

    Reply
  6. bubus

    И какова стойкость такого метода интересно? Брутфорс пальцами конечно не вариант, а если из 1С обработки пробутфорсить, сколько времени займет интересно на строку из 10 символов (зашифрованный пароль)?

    Reply
  7. NikitaXa

    (6) bubus, вот здесь есть описание продолжительности перебора пароля в общем случае. Т.е. для 10 символов пароля получается 1162 года. Однако существуют различные методы расшифровки шифра Виженера, которые позволяют ускорить время расшифровки.

    Reply
  8. bubus

    (7) я уже глянул, да есть. И очень эффективный — частотный криптоанализ. https://habrahabr.ru/post/221485/ Жаль там ссылка на программу мертвая. Но, программа та работает с «обычным» Виженером, а у вас я так понял изменения некоторые с ключом, плюс не «алфавитный квадрат» а символьный. Но, было бы очень интересно посмотреть за сколько бы та программа справилась, если бы справилась вообще. Но, в любом случае ваша разработка мне кажется очень и очень полезной. Для мобильных приложений к примеру, где у нас нет возможности юзать .NET Framework для шифрования.

    Reply
  9. spectre1978

    (1) Ну наиболее типичное на мой взгляд применение — это если в объектах конфы хранятся имена-пароли (скажем от неких сторонних веб-сервисов, с которыми работает программа) и есть желание это дело немного прикрыть от посторонних глаз.

    Reply
  10. spectre1978

    (6) bubus, если нужна стойкость от реального взлома — Вижинер вряд ли подойдет. Это один из самых известных и простых методов шифрования.

    Т.е. «защита от дурака». Для серьезных применений нужно использовать CryptoAPI и алгоритмы из него.

    Reply
  11. soulsteps

    Автор, сделай сортировку в списке выбора объектов. А так обработка супер. Как раз понадобилось шифрануть данные.

    Reply
  12. NikitaXa

    (11) soulsteps, приложена новая версия обработки с сортировкой дерева справочников по синониму.

    Reply
  13. dobrynin.i.s

    Уважаемый, попробовал на ут 11

    {ВнешняяОбработка.ШифрованиеСтроковыхПолейСправочников.Форма.Форма.Форма(780)}: Ошибка при вызове метода контекста (Выполнить)

    РезультатЗапроса = Запрос.Выполнить();

    по причине:

    {(16, 30)}: Неверные параметры в операции сравнения. Нельзя сравнивать поля

    неограниченной длины и поля несовместимых типов.

    ИЛИ Таблица.ТекстоваяСтрока <<?>><> «»)

    убрал условие на непустую строку — обработка пишет зашифровано все, но результата не видно в справочнике

    Reply
  14. dobrynin.i.s

    (13) ф-я ЗашифроватьСтроку выдает пустой результат в любом случае цифры, кириллица. латиница

    Reply
  15. NikitaXa

    (14) Действительно, имела место ошибка в шифровании строковых реквизитов неограниченной длины. Исправленная версия обработки уже приложена к публикации. Для исправления ошибки в модуле формы необходимо заменить строку №734 замените с:

    «| ИЛИ Таблица.» + ИмяПоля + » <> «»»»»;»

    на:

    «| ИЛИ ПОДСТРОКА(Таблица.» + ИмяПоля + «, 1, 255) <> «»»»»;».

    Reply
  16. ogidni
    КодЗакодированныгоСимвола = КодСимволаИсходнойСтроки + КодСимволаКлючаШифрования + СлучайнаяСоставляющая;

    Я что то не понял у вас в сумме шифра случайное число. Получается текст зашифровать можно, а вот обратно нет. или только путем перебора случайной строки?

    Reply

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *