Я просто смотрел, как решить эту проблему, но я также хочу, чтобы моя функция создавала токен, который также можно использовать для получения пароля. Это означает, что мне нужно ограничить способность токена угадываться. Потому uniqid
что основан на времени, и согласно php.net "возвращаемое значение мало отличается от microtime ()", uniqid
не соответствует критериям. PHP рекомендует использовать openssl_random_pseudo_bytes()
вместо этого для создания криптографически безопасных токенов.
Быстрый, короткий и конкретный ответ:
bin2hex(openssl_random_pseudo_bytes($bytes))
который сгенерирует случайную строку буквенно-цифровых символов длиной = $ байтов * 2. К сожалению, это только алфавит [a-f][0-9]
, но это работает.
Ниже приведена самая сильная функция, которую я мог сделать, которая удовлетворяет критериям (это реализованная версия ответа Эрика).
function crypto_rand_secure($min, $max)
{
$range = $max - $min;
if ($range < 1) return $min; // not so random...
$log = ceil(log($range, 2));
$bytes = (int) ($log / 8) + 1; // length in bytes
$bits = (int) $log + 1; // length in bits
$filter = (int) (1 << $bits) - 1; // set all lower bits to 1
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
$rnd = $rnd & $filter; // discard irrelevant bits
} while ($rnd > $range);
return $min + $rnd;
}
function getToken($length)
{
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
$max = strlen($codeAlphabet); // edited
for ($i=0; $i < $length; $i++) {
$token .= $codeAlphabet[crypto_rand_secure(0, $max-1)];
}
return $token;
}
crypto_rand_secure($min, $max)
работает как капля в замене rand()
или mt_rand
. Он использует openssl_random_pseudo_bytes, чтобы помочь создать случайное число между $ min и $ max.
getToken($length)
создает алфавит для использования в токене, а затем создает строку длины $length
.
РЕДАКТИРОВАТЬ: я не упомянул источник - http://us1.php.net/manual/en/function.openssl-random-pseudo-bytes.php#104322
РЕДАКТИРОВАТЬ (PHP7): С выпуском PHP7 стандартная библиотека теперь имеет две новые функции, которые могут заменить / улучшить / упростить функцию crypto_rand_secure, описанную выше. random_bytes($length)
а такжеrandom_int($min, $max)
http://php.net/manual/en/function.random-bytes.php
http://php.net/manual/en/function.random-int.php
Пример:
function getToken($length){
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
$max = strlen($codeAlphabet);
for ($i=0; $i < $length; $i++) {
$token .= $codeAlphabet[random_int(0, $max-1)];
}
return $token;
}