Comment serait-il possible de générer une chaîne aléatoire et unique à l'aide de chiffres et de lettres pour l'utiliser dans un lien de vérification ? Par exemple, lorsque vous créez un compte sur un site Web et qu'il vous envoie un courriel contenant un lien, vous devez cliquer sur ce lien pour vérifier votre compte.
Comment puis-je en générer un en utilisant PHP ?
La bibliothèque standard de PHP 7 fournit la fonction random_bytes($length) qui génèrent des octets pseudo-aléatoires cryptographiquement sûrs.
Exemple :
$bytes = random_bytes(20);
var_dump(bin2hex($bytes));L'exemple ci-dessus produira quelque chose de similaire :
string(40) "5fe69c95ed70a9869d9f9af7d8400a6673bb9ce9"Plus d'informations : http://php.net/manual/en/function.random-bytes.php
PHP 5 (obsolète)
Je cherchais justement comment résoudre ce même problème, mais je veux aussi que ma fonction crée un jeton qui puisse être utilisé pour récupérer le mot de passe. Cela signifie que je dois limiter la capacité du jeton à être deviné. Parce que uniqid est basé sur le temps, et selon php.net "la valeur de retour est peu différente de microtime()", uniqid ne répond pas aux critères. PHP recommande d'utiliser openssl_random_pseudo_bytes() au lieu de générer des jetons cryptographiquement sécurisés.
Une réponse rapide, courte et précise est la suivante :
bin2hex(openssl_random_pseudo_bytes($bytes))qui générera une chaîne aléatoire de caractères alphanumériques de longueur = $bytes * 2. Malheureusement, cette chaîne n'a qu'un alphabet de [a-f][0-9] mais ça marche.
Voici la fonction la plus puissante que j'ai pu créer et qui répond aux critères (il s'agit d'une version implémentée de la réponse d'Erik).
function crypto_rand_secure($min, $max)
{
$range = $max - $min;
if ($range < 1) return $min; // not so random...
$log = ceil(log($range, 2));
$bytes = (int) ($log / 8) + 1; // length in bytes
$bits = (int) $log + 1; // length in bits
$filter = (int) (1 << $bits) - 1; // set all lower bits to 1
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
$rnd = $rnd & $filter; // discard irrelevant bits
} while ($rnd > $range);
return $min + $rnd;
}
function getToken($length)
{
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
$max = strlen($codeAlphabet); // edited
for ($i=0; $i < $length; $i++) {
$token .= $codeAlphabet[crypto_rand_secure(0, $max-1)];
}
return $token;
}crypto_rand_secure($min, $max) fonctionne comme un substitut à la rand() ou mt_rand . Il utilise openssl_random_pseudo_bytes pour aider à créer un nombre aléatoire entre $min et $max.
getToken($length) crée un alphabet à utiliser dans le jeton et crée ensuite une chaîne de longueur $length .
Source : http://us1.php.net/manual/en/function.openssl-random-pseudo-bytes.php#104322
J'espère que par "récupération des mots de passe" vous ne voulez pas dire que vous stockez les mots de passe en clair. Si c'est le cas, votre sécurité ici semble inutile.
Je suis d'accord. Le stockage des mots de passe en clair est horrible ! (J'utilise blowfish.) Mais après que le jeton soit généré, il permet au détenteur du jeton de réinitialiser le mot de passe, donc le jeton est équivalent au mot de passe tant qu'il est valide (et est traité comme tel).
Hé, j'ai combiné votre excellent code avec la fonctionnalité pratique de la méthode Kohana Text::random() et j'ai créé ce gist : gist.github.com/raveren/5555297
Avis de sécurité : Cette solution ne doit pas être utilisée dans les situations où la qualité de votre caractère aléatoire peut affecter la sécurité d'une application. En particulier,
rand()etuniqid()ne sont pas des générateurs de nombres aléatoires cryptographiquement sûrs. . Voir Réponse de Scott pour une alternative sécurisée.
Si vous n'en avez pas besoin pour être absolument unique au fil du temps :
md5(uniqid(rand(), true))
Sinon (étant donné que vous avez déjà déterminé un login unique pour votre utilisateur) :
md5(uniqid($your_user_login, true))
Les deux méthodes ne garantie unicité - la longueur de l'entrée de la fonction md5 est plus grande que la longueur de sa sortie et selon le fr.wikipedia.org/wiki/Pigeonhole_principle la collision est garantie. D'autre part, plus la population qui s'appuie sur les hachages pour obtenir l'identifiant "unique" est importante, plus la probabilité d'occurrence d'au moins une collision est grande (cf. fr.wikipedia.org/wiki/Problème d'anniversaire ). La probabilité est peut-être minime pour la plupart des solutions, mais elle existe quand même.
Il ne s'agit pas d'une méthode sûre pour générer des valeurs aléatoires. Voir la réponse de Scott.
Pour les confirmations d'e-mails qui expirent relativement vite, je pense que l'infime possibilité qu'une personne puisse un jour confirmer l'e-mail de quelqu'un d'autre est un risque négligeable. Mais vous pouvez toujours vérifier si le jeton existe déjà dans la base de données après l'avoir créé et en choisir un nouveau si c'est le cas. Cependant, le temps que vous passez à écrire ce bout de code est probablement perdu car il ne sera probablement jamais exécuté.
J'ai créé une solution orientée objet basée sur Scott La réponse de la Commission :
<?php
namespace Utils;
/**
* Class RandomStringGenerator
* @package Utils
*
* Solution taken from here:
* http://stackoverflow.com/a/13733588/1056679
*/
class RandomStringGenerator
{
/** @var string */
protected $alphabet;
/** @var int */
protected $alphabetLength;
/**
* @param string $alphabet
*/
public function __construct($alphabet = '')
{
if ('' !== $alphabet) {
$this->setAlphabet($alphabet);
} else {
$this->setAlphabet(
implode(range('a', 'z'))
. implode(range('A', 'Z'))
. implode(range(0, 9))
);
}
}
/**
* @param string $alphabet
*/
public function setAlphabet($alphabet)
{
$this->alphabet = $alphabet;
$this->alphabetLength = strlen($alphabet);
}
/**
* @param int $length
* @return string
*/
public function generate($length)
{
$token = '';
for ($i = 0; $i < $length; $i++) {
$randomKey = $this->getRandomInteger(0, $this->alphabetLength);
$token .= $this->alphabet[$randomKey];
}
return $token;
}
/**
* @param int $min
* @param int $max
* @return int
*/
protected function getRandomInteger($min, $max)
{
$range = ($max - $min);
if ($range < 0) {
// Not so random...
return $min;
}
$log = log($range, 2);
// Length in bytes.
$bytes = (int) ($log / 8) + 1;
// Length in bits.
$bits = (int) $log + 1;
// Set all lower bits to 1.
$filter = (int) (1 << $bits) - 1;
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
// Discard irrelevant bits.
$rnd = $rnd & $filter;
} while ($rnd >= $range);
return ($min + $rnd);
}
}<?php
use Utils\RandomStringGenerator;
// Create new instance of generator class.
$generator = new RandomStringGenerator;
// Set token length.
$tokenLength = 32;
// Call method to generate random string.
$token = $generator->generate($tokenLength);Vous pouvez utiliser un alphabet personnalisé si nécessaire. Il suffit de passer une chaîne avec les caractères pris en charge au constructeur ou au paramètre :
<?php
$customAlphabet = '0123456789ABCDEF';
// Set initial alphabet.
$generator = new RandomStringGenerator($customAlphabet);
// Change alphabet whenever needed.
$generator->setAlphabet($customAlphabet);SRniGU2sRQb2K1ylXKnWwZr4HrtdRgrM
q1sRUjNq1K9rG905aneFzyD5IcqD4dlC
I0euIWffrURLKCCJZ5PQFcNUCto6cQfD
AKwPJMEM5ytgJyJyGqoD5FQwxv82YvMr
duoRF6gAawNOEQRICnOUNYmStWmOpEgS
sdHUkEn4565AJoTtkc8EqJ6cC4MLEHUx
eVywMdYXczuZmHaJ50nIVQjOidEVkVna
baJGt7cdLDbIxMctLsEBWgAw5BByP5V0
iqT0B2obq3oerbeXkDVLjZrrLheW4d8f
OUQYCny6tj2TYDlTuu1KsnUyaLkeObwaJ'espère que cela pourra aider quelqu'un. A la vôtre !
Je suis désolé mais comment je fais fonctionner ce truc ? Je l'ai fait $obj = new RandomStringGenerator; mais quelle méthode dois-je appeler ? Merci.
@sg552, vous devriez appeler generate comme dans l'exemple ci-dessus. Il suffit de lui passer un nombre entier pour spécifier la longueur de la chaîne résultante.
Merci, cela fonctionne pour moi mais Custom Alphabet ne l'a pas fait. J'ai eu une sortie vide quand j'ai fait écho. De toute façon, je ne suis même pas sûr de l'utilité du deuxième exemple. Custom Alphabet donc je pense que je vais rester avec le premier exemple. Merci.
Cette fonction permet de générer une clé aléatoire à l'aide de chiffres et de lettres :
function random_string($length) {
$key = '';
$keys = array_merge(range(0, 9), range('a', 'z'));
for ($i = 0; $i < $length; $i++) {
$key .= $keys[array_rand($keys)];
}
return $key;
}
echo random_string(50);Exemple de sortie :
zsd16xzv3jsytnp87tk7ygv73k8zmr0ekh6ly7mxaeyeh46oe8
Par exemple (en pseudo-code)
int myInt = random(0, numcharacters)
char[] codealphabet = 'ABCDEF12345'
char random = codealphabet[i]
repeat until long enough Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.
1 votes
Tout ce dont vous avez besoin, ce sont des chaînes de caractères et des nombres aléatoires uniformément distribués.
12 votes
Hé Andrew, tu devrais choisir
Scottcomme réponse correcte. Scott utilise le générateur de nombres psudo-aléatoires à sécurité cryptographique (CSPRNG) d'OpenSSL, qui choisira la source d'entropie la plus sûre en fonction de votre plate-forme.3 votes
Si vous lisez ceci après 2015, s'il vous plaît, regardez ici : paragonie.com/blog/2015/07/ La plupart des réponses sont plus ou moins erronées...
0 votes
OpenSSL et
uniqidne sont pas sûrs. Utilisez quelque chose commeRandom::alphanumericString($length)ouRandom::alphanumericHumanString($length).