php में एक सुरक्षित सक्रियण स्ट्रिंग कैसे उत्पन्न करें?

Question

उपयोगकर्ता मेरी वेबसाइट पर ईमेल सदस्यता लेने के बाद। मेरी वेबसाइट एक ईमेल पुष्टि उत्पन्न करेगी और उन्हें भेजेंगी।

www.domain.com/activate.php?key=$generatedKey

कैसे आप कुंजी उत्पन्न करते हैं: ईमेल सामग्री में, मैं सक्रियण कुंजी, जैसे कुछ शामिल करने की ज़रूरत? sha1 ($ ईमेल) का उपयोग कर ??

कुंजी उत्पन्न करने के बाद, मैं इसे डेटाबेस में संग्रहीत करता हूं, ताकि जब उपयोगकर्ता लिंक पर क्लिक करता है तो मैं इसे डेटाबेस के साथ सत्यापित कर सकता हूं ?? .. मैं यह करने के लिए नया हूँ, कृपया सलाह .. मैं एक ईमेल पुष्टि स्क्रिप्ट की जरूरत

Answer 1

व्यक्तिगत रूप से, सिर्फ मैं जैसी चीजों का एक संयोजन का उपयोग करें:

$generatedKey = sha1(mt_rand(10000,99999).time().$email); 

टक्कर की संभावना छोटा है, लेकिन मेरा सुझाव है इसे भेजने से पहले अपने डेटाबेस को पहले जांचना (अद्वितीय बाधाओं का उपयोग करना एक आसान तरीका है)।

Answer 2

$guid=md5(uniqid(mt_rand(), true)); 

Answer 3

कि यह करना चाहिए, फिर भी आप इसे कुछ नमक, उदाहरण जोड़कर में सुधार कर सकते हैं:

$key = sha1($email . 'doYouLikeSauce'); 

अन्य दृष्टिकोण सिर्फ एक यादृच्छिक पासवर्ड पैदा करते हैं और ईमेल के माध्यम से भेजने के लिए है।

Answer 4

यदि आप डेटाबेस में सक्रियण स्ट्रिंग संग्रहीत कर रहे हैं और इसे बाद में जांच रहे हैं, तो आपको एक हैश की आवश्यकता नहीं है!

आपको बस एक लंबी, यादृच्छिक स्ट्रिंग की आवश्यकता है। आप इसे उत्पन्न कर सकते हैं हालांकि आप चाहते हैं, बस इसे लंबा बनाओ। वास्तव में, यह आदर्श रूप से ईमेल या उपयोगकर्ता नाम के साथ कुछ भी नहीं करना चाहिए।

Answer 5

आप मूल रूप से कुछ ही विकल्प हैं:

1) एक भी अद्वितीय पहचानकर्ता मालूम होता है यादृच्छिक है बनाएँ और अपने डेटाबेस में संग्रहीत जिसके साथ यह

2 से मेल खाती है उपयोगकर्ता नाम) एक यादृच्छिक पासवर्ड जनरेट करें और शामिल लिंक में उपयोगकर्ता आईडी और पासवर्ड डेटाबेस में पासवर्ड

3) उपयोगकर्ता पहचानकर्ता को एन्क्रिप्ट करने के लिए एक तरह से हैशिंग फ़ंक्शन (md5, sah1, आदि) और एक गुप्त पहचानकर्ता का उपयोग करें। आपको अपने डेटाबेस में एन्क्रिप्टेड उपयोगकर्ता पहचानकर्ता को स्टोर करने की आवश्यकता नहीं है।

विकल्प 1 कठिन है क्योंकि आपको यह देखने के लिए डेटाबेस की जांच करने की चिंता करनी है कि कुंजी पहले से मौजूद है या नहीं। हालांकि, यह अच्छा है कि यूआरएल में उपयोगकर्ता नाम सक्रिय नहीं है।

यदि आप भविष्य में उपयोगकर्ता जानकारी (शायद न्यूनतम पर एक पासवर्ड) स्टोर करने के लिए कुछ प्रकार के डेटाबेस का उपयोग करने जा रहे हैं, तो आप विकल्प 2 के साथ जा सकते हैं। इसमें एक और कॉलम जोड़ने के लिए बहुत कुछ नहीं लगता है आपका डेटाबेस ईमेल भेजते समय, उपयोगकर्ता नाम और पंक्ति के लिए किसी अन्य कॉलम में उपयोगकर्ता नाम और $ key = sha1 (रैंड (1, 99 999)। $ उपयोगकर्ता नाम) जैसे कुछ सहेजें। फिर आपका लिंक इस तरह दिखता है: http://you.com/activation.php?user= $ उपयोगकर्ता नाम & कुंजी = $ कुंजी। Activation.php में आप यह देखने के लिए जांचते हैं कि कुंजी डेटाबेस में संग्रहीत मान के बराबर है या नहीं।

यदि आप अपने डेटाबेस में कम संग्रहण स्थान का उपयोग करना चाहते हैं, तो विकल्प 3 काम करेगा। आप गुप्त पहचानकर्ता के रूप में $ key = sha1 ($ mysecret। $ उपयोगकर्ता नाम) जैसे कुछ का उपयोग कर सकते हैं। कुछ अजीब प्रयोग करें कि केवल आप $ mysecret जैसे 'aaafj_my_secret_adfaf' के रूप में जानते हैं। विकल्प 2 में उसी प्रकार के यूआरएल का प्रयोग करें।हालांकि, क्योंकि आप केवल $ उपयोगकर्ता नाम पर आधारित $ कुंजी उत्पन्न कर सकते हैं, आपको इसे स्टोर करने की आवश्यकता नहीं है। तो जब आप activation.php में प्रसंस्करण कर रहे हैं, तो यह देखने के लिए जांचें कि sha1 ($ mysecret। $ _GET [उपयोगकर्ता नाम]) == $ _GET [key]। यदि ऐसा होता है, तो आप जानते हैं कि आपके पास सही उपयोगकर्ता है। सैद्धांतिक रूप से, पर्याप्त पंजीकरण के साथ, कोई $ mysecret के लिए अपना मूल्य समझ सकता है और सक्रियण कुंजी भी उत्पन्न कर सकता है। हालांकि, आप निश्चित रूप से उन अरबों या अधिक पंजीकरणों को नोटिस करेंगे जो इससे पहले कि वे गणना कर सकें, इसकी गणना करना शुरू हो जाएगा। आवश्यक सक्रियण की संख्या हैशिंग फ़ंक्शन के मुख्य आकार पर आधारित है। Sha1 (160 बिट) बनाम md5 (128 बिट) का उपयोग करें ताकि आपके $ mysecret मान का अनुमान लगाना मुश्किल हो।

Answer 6

$code = md5($_POST['username'] . microtime());