Как лучше зашифровать URL?

Question

[Lexxtor]

Отправляю с сайта письма. Все переходы по ссылкам в письмах должны идти через скрипт с редиректом.
Можно было бы сделать так: site.ru/redirect?token=fkentov35na322k6g52 где token это случайная строка хранимая в БД вместе с URL на который надо редиректить и id письма.
Но писем будет отправляться тысячи и иметь БД таблицу для токенов не хочется. Поэтому я шифрую id письма и URL в строку token и передаю в адресе скрипта, скрипт её расшифровывает и получает URL переадресации.
Все работает, только этот token получается длинный:

При пароле шифрования в 11 символов, такой:

5BRpsImR02MaR2gWlDZS__OyMetPHaG3MtacaX6C5XgO9YornNgBVQD89RAaifdT-3NGqWt9MqB4dGIQhVzeAolw8kky5ELUf7hJ2QaDmQe7J4WPdxMlgvbKncefCrPbx1o_ech-UW87DCuVJAkchE-bf0I8t8W0x1LKoLJSBX_slQV6VYffjhHUQiA5Iz-iQ7UMYrWqUQ

При пароле шифрования в 5 символов, такой:

tFR6K4OibiwsIpIQ3jClkyRhxVaVH9lG0w_hwoMAbDq3qQELIoyXYJAXkR_LPJhFt1tQvbq_e_1YehYQaXMWCUfIqLQSST2yk7zHJq-O4i_1xphtk3dMSxiMhdO-ZNRCAmNZZJTNIZbC7evV3Vs4MpDU4rLw6FeMQJLynplcsJ8cvOxvwenoWw1nxg

В HTML письма ссылки должны быть такие: <a href="URL">URL</a> и они будут получаться очень длинные в тексте. Зато злоумышленник не сможет подобрать токен и исказить статистику.

Как это можно улучшить? Другие сервисы ведь тоже используют такой подход?

Comments

[Lynn «Кофеман»]

Сам URL секретный?

[Lexxtor]

Алексей Тен: Да. Чтобы напрямую не переходили. Потому что надо считать переходы.

[Lexxtor]

Алексей Тен: И кстати от спам-фильтров надо прятать URL.

Answer 1

[Алексей]

Вы все верно написали - варианта два - или хранить ссылки в БД или шифровать их прямо в URL.
Если ссылок у вас ограниченное количество, можно занести их все с БД, на выходе получим, например, ID-Link = 0..99 (сотня ссылок).
Далее вы, как я понял, хотите отследить пользователей - это уже ID-User в диапазоне, допустим, 0..9999.
Итого нам надо "вшить" в ссылку два числа - 99 и 9999, например в виде 99:9999.
Вот их я и предлагаю зашифровать, ссылка получится не очень длинная.

Comments

[Lexxtor]

Мне надо зашифровать только URL переадресации и ID письма.
Я их пихаю в массив, сериализую в строку и шифрую. Получается длинный токен.
Причем перед шифровкой, в строку приходится вмешивать балласт, иначе в итоговом токене можно будет менять символы и получать валидные токены, что плохо.

[Алексей]

Предложу простейший вариант, если ссылки в письмах повторяются (не уникальны для каждого письма) - занести ссылки в БД. Далее для письма с номером 1234567 выбираем ссылку номер 123. Вычисляем $hash = md5('VerifyRedirect:'.$messageid.':'.$urlid);
В письмо вставляем ссылку www.mydomain.ru/redirect.php?url=123&msg=1234567&hash=$hash
Хоть все и открыто, но нельзя поменять никакой символ - в redirect.php можно будет проверить снова по md5 правильность параметров, вытащить из БД ссылку и сделать редирект.

[Lexxtor]

Контрольный хэш - отличная идея!

Answer 2

[Adamos]

Вам же не надо засекретить ссылки, вам всего лишь нужно подсчитать переходы.
99% пользователей не будет заморачиваться с вытягиванием настоящей ссылки из вашей даже после простого urlencode... Ну, в крайнем случае, замените перед кодированием точку на запятую, а на сервере поменяйте обратно.

Comments

[Lexxtor]

Мне надо посчитать переходы с конкретных емейлов. То есть я отслеживают открытие письма и переход по ссылке в нем. И кстати от спам-фильтров надо бы прятать конечный URL.

[Adamos]

Lexxtor: не вижу, что это меняет.
Впрочем, спамеры должны страдать, не буду мешать.