この同じ問題を解決する方法を調べたところですが、パスワードの取得にも使用できるトークンを作成する関数も必要です。これは、推測されるトークンの能力を制限する必要があることを意味します。のでuniqid
、時間に基づいて、php.netによるとされ、「戻り値は()のmicrotimeから少し異なるがある」uniqid
の基準を満たしていません。PHPでは、openssl_random_pseudo_bytes()
代わりにを使用して暗号的に安全なトークンを生成することをお勧めします。
簡単、短く、要点は次のとおりです。
bin2hex(openssl_random_pseudo_bytes($bytes))
これにより、長さ= $ bytes * 2のランダムな英数字の文字列が生成されます。残念ながら、これにはのアルファベットしかありませんが、[a-f][0-9]
機能します。
以下は、条件を満たす最も強力な関数です(これは、Erikの回答の実装バージョンです)。
function crypto_rand_secure($min, $max)
{
$range = $max - $min;
if ($range < 1) return $min; // not so random...
$log = ceil(log($range, 2));
$bytes = (int) ($log / 8) + 1; // length in bytes
$bits = (int) $log + 1; // length in bits
$filter = (int) (1 << $bits) - 1; // set all lower bits to 1
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
$rnd = $rnd & $filter; // discard irrelevant bits
} while ($rnd > $range);
return $min + $rnd;
}
function getToken($length)
{
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
$max = strlen($codeAlphabet); // edited
for ($i=0; $i < $length; $i++) {
$token .= $codeAlphabet[crypto_rand_secure(0, $max-1)];
}
return $token;
}
crypto_rand_secure($min, $max)
rand()
またはの代わりのドロップとして機能しmt_rand
ます。openssl_random_pseudo_bytesを使用して、$ minと$ maxの間の乱数を作成します。
getToken($length)
トークン内で使用するアルファベットを作成してから、長さの文字列を作成します$length
。
編集:私はソースを引用するのを怠った-http: //us1.php.net/manual/en/function.openssl-random-pseudo-bytes.php#104322
編集(PHP7):PHP7のリリースに伴い、標準ライブラリに2つの新しい関数が追加され、上記のcrypto_rand_secure関数を置換/改善/簡略化できるようになりました。random_bytes($length)
そしてrandom_int($min, $max)
http://php.net/manual/en/function.random-bytes.php
http://php.net/manual/en/function.random-int.php
例:
function getToken($length){
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
$max = strlen($codeAlphabet);
for ($i=0; $i < $length; $i++) {
$token .= $codeAlphabet[random_int(0, $max-1)];
}
return $token;
}