必须用签名随机短码替代可预测ID,服务端校验时效性、访问次数及权限,重定向前严格鉴权并防止信息泄露。
短链接还原时如何防止恶意批量探测 token 或 id
直接暴露原始 URL 的 ID(如数据库自增主键)或未签名的 token,会让攻击者通过递增、爆破等方式批量还原敏感链接。必须切断「短码 → 原始 URL」的可预测映射关系。
- 不要用纯数字 ID(如
123、124)作为短码;改用随机字符串(如aB3xK9),长度 ≥ 6,字符集排除易混淆字符(0/O/l/I) - 对短码做服务端校验:查询前先检查
short_code是否在有效期内、是否已被禁用、是否超出访问次数限制(存于 Redis 中,用INCR+EXPIRE实现) - 避免在响应头或重定向 Location 中泄露原始 URL 的结构特征(如包含
u、
ser_id=file_id=等)
ser_id=PHP 中用 hash_hmac() 签名短码防止篡改
单纯随机短码仍可能被伪造或重放。需绑定业务上下文并签名,确保短码不可逆、不可伪造。
function generateShortCode($originalUrl, $secretKey) {
$timestamp = time();
$payload = $originalUrl . '|' . $timestamp;
$hmac = hash_hmac('sha256', $payload, $secretKey);
$code = substr(base64_encode($hmac), 0, 6); // 截取生成短码
return str_replace(['+', '/', '='], ['a', 'b', 'c'], $code);
}
function verifyShortCode($code, $originalUrl, $timestamp, $secretKey) {
$payload = $originalUrl . '|' . $timestamp;
$expected = hash_hmac('sha256', $payload, $secretKey);
$expectedCode = substr(base64_encode($expected), 0, 6);
$expectedCode = str_replace(['+', '/', '='], ['a', 'b', 'c'], $expectedCode);
return hash_equals($expectedCode, $code); // 防时序攻击
}
关键点:hash_equals() 防止时序攻击;$timestamp 参与签名,后续可校验是否超时(如 24 小时);$secretKey 必须是强随机、独立存储的密钥(不硬编码在代码里)。
重定向前必须做权限和上下文校验
还原不是终点,而是访问控制的起点。不能只查出原始 URL 就 302 跳转,必须确认当前请求具备访问该资源的权限。
立即学习“PHP免费学习笔记(深入)”;
- 若短链接指向用户私有文件(如
/download?file_id=789),需从 session 或 JWT 中提取当前user_id,再查数据库确认该用户是否拥有该file_id的读权限 - 若短链接用于一次性操作(如密码重置),需在数据库中标记该短码为「已使用」,且仅允许一次有效(用
UPDATE ... WHERE used = 0+affected_rows === 1保证原子性) - 记录访问日志(IP、User-Agent、时间戳、短码),但日志中不得明文记录原始 URL(可记录哈希或脱敏后的标识)
避免 PHP 自身配置导致的重定向泄露
常见疏漏是开发环境残留调试逻辑,或错误使用 header() 导致跳转信息被中间件/CDN 缓存或透出。
- 禁用
expose_php = On(php.ini),防止响应头泄露 PHP 版本 - 重定向前务必调用
exit;或die();,否则后续代码仍会执行(尤其在未严格控制流程时) - 不要在重定向前输出任何内容(包括空格、BOM、
echo ''),否则触发headers already sent错误,可能暴露路径或堆栈 - 若用 Nginx,确认没有配置
add_header X-Redirect-URL类似规则,把原始 URL 写进响应头
