PHPトークン(トークン)の設計_PHPチュートリアル
- WBOYオリジナル
- 2016-07-21 15:53:39841ブラウズ
目標を達成する方法:
繰り返しの送信を回避するには?
SESSION に配列を保存します。バックグラウンド処理中に、この配列にトークンが存在するかどうかを最初に確認します。 , 繰り返し送信であることを示します。
ソースを確認する方法は?
オプションで、このトークンが生成されると、送信時に他の人が HTML (トークンのコピー) をコピーすると、理論的にはトークンに次の情報が追加されます。 session_id が現在の session_id と等しくない場合、この送信は外部送信であると判断できます。
実行するアクションを一致させるにはどうすればよいですか?
トークン化するときに、このトークンのアクション名をトークンに書き込む必要があります。を処理するときに、このアクションを解決して比較するだけです。
以前に書いた GToken は、上記の 2 番目の点を満たしていませんでした。今日、それを修正して機能 2 を追加しました。個人的には、これは大丈夫だと思います。何か無理があるような気がしますので、教えてください
ネットで暗号化の方法を見つけたので、
コードをコピーしました。次のように:
class GEncrypt extends GSuperclass { protected static function keyED($txt,$encrypt_key){
$encrypt_key = md5($encrypt_key); $tmp = " " ; t, $i,1) ^ substr($encrypt_key,$ctr,1); function encrypt($txt,$key){
//$encrypt_key = d(0,32000));
ctr=0; $tmp = "";
for ($i=0;$i if ($ctr==strlen($encrypt_key)) $ctr=0;
$tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1)); ); ";
$tmp.= (substr($txt ,$i,1) ^ $md5)
GToken.inc.php
メソッド:
a,granteToken パラメーター: formName、アクション名、key は暗号化/復号化キーです。
encryption(formName:session_id)
b の形式で文字列を返します。 isToken パラメータ: token は、grantToken、formName、アクション名によって生成された結果であり、fromCheck がオリジンをチェックするかどうか、また、true の場合は、トークン内の session_id が現在の session_id、dropToken、と一致するかどうかも判断します。アクションが正常に実行された後、この関数を呼び出し、このトークンをセッションに記録します
//$encrypt_key = d(0,32000));
ctr=0; $tmp = "";
for ($i=0;$i
$tmp.= substr($encrypt_key,$ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1)); ); ";
$tmp.= (substr($txt ,$i,1) ^ $md5)
GToken.inc.php
メソッド:
a,granteToken パラメーター: formName、アクション名、key は暗号化/復号化キーです。
encryption(formName:session_id)
b の形式で文字列を返します。 isToken パラメータ: token は、grantToken、formName、アクション名によって生成された結果であり、fromCheck がオリジンをチェックするかどうか、また、true の場合は、トークン内の session_id が現在の session_id、dropToken、と一致するかどうかも判断します。アクションが正常に実行された後、この関数を呼び出し、このトークンをセッションに記録します
コードをコピーします コードは次のとおりです:
/**
* 原則: トークンの割り当てをリクエストするときは、一意のトークン、base64(time + rand + action) を割り当てる方法を見つけてください。
* 送信された場合は、このトークンが以前に使用されたことを示すためにこのトークンを記録します。重複送信を避けるためです。
*
*/
class GToken {
/**
*現在のすべてのトークンを取得します*/
public static function getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY] _トークン ];
if (empty($tokens) && !is_array($tokens)) {
$tokens = array();
}
$tokens を返します。
}
/**
*新しいトークンを生成します*/
public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName.":".session_id() ,$キー);
$token を返す;
}
/**
* トークンを削除すると、実際にはセッション内の配列に要素が追加され、データの繰り返しの送信を避けるためにそのトークンが以前に使用されたことを示します。
**/
public static function dropToken($token){
$tokens = self::getTokens();
$tokens[] = $token;
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);
}
/**️ medium 追加 session_id が現在の session_id と同じかどうか
* @param string $key 暗号化キー
* @return boolean
*/
public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self::getTokens();
if (in_array($token,$tokens)) //如果存在、说明是使用过的トークン
return false;
$source = split(":", GEncrypt::decrypt($token,$key));
if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName;
else
return $source[0] == $formName;
}
}
?>
例:
まずは$_POSTからトークンを取り出してisTokenで判定
このファイルをダウンロードすれば問題なさそうです
一致するアクションかどうかを判定したい場合はisTokenのformNameを変更すればOKです。実行後は正常に動作しますが、一致するものはありません。これで成功したことがわかります。
繰り返しの送信を回避できるかどうかは検証していません。あとはソースチェックを行うかどうかです。は正常に動作しています。
上記を入力します。 例によって生成された HTML をローカル Web ページにコピーし (さまざまなドメインの目的を達成するため)、それを実行し、ソースが不明であることを確認し、アクションを実行しません (isToken の 3 番目のパラメーターが必要です)。
isToken を変更します。3 番目のパラメータが false に設定され、送信され、指定されたアクションが実行されます。
さて、これまでのところ、どこかにバグがあるかどうかはわかりません。長期使用するとデバッグや変更が遅くなります
/**
* 原則: トークンの割り当てをリクエストするときは、一意のトークン、base64(time + rand + action) を割り当てる方法を見つけてください。
* 送信された場合は、このトークンが以前に使用されたことを示すためにこのトークンを記録します。重複送信を避けるためです。
*
*/
class GToken {
/**
*現在のすべてのトークンを取得します*/
public static function getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY] _トークン ];
if (empty($tokens) && !is_array($tokens)) {
$tokens = array();
}
$tokens を返します。
}
/**
*新しいトークンを生成します*/
public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName.":".session_id() ,$キー);
$token を返す;
}
/**
* トークンを削除すると、実際にはセッション内の配列に要素が追加され、データの繰り返しの送信を避けるためにそのトークンが以前に使用されたことを示します。
**/
public static function dropToken($token){
$tokens = self::getTokens();
$tokens[] = $token;
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);
}
/**️ medium 追加 session_id が現在の session_id と同じかどうか
* @param string $key 暗号化キー
* @return boolean
*/
public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self::getTokens();
if (in_array($token,$tokens)) //如果存在、说明是使用过的トークン
return false;
$source = split(":", GEncrypt::decrypt($token,$key));
if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName;
else
return $source[0] == $formName;
}
}
?>
例:
まずは$_POSTからトークンを取り出してisTokenで判定
このファイルをダウンロードすれば問題なさそうです一致するアクションかどうかを判定したい場合はisTokenのformNameを変更すればOKです。実行後は正常に動作しますが、一致するものはありません。これで成功したことがわかります。
繰り返しの送信を回避できるかどうかは検証していません。あとはソースチェックを行うかどうかです。は正常に動作しています。
上記を入力します。 例によって生成された HTML をローカル Web ページにコピーし (さまざまなドメインの目的を達成するため)、それを実行し、ソースが不明であることを確認し、アクションを実行しません (isToken の 3 番目のパラメーターが必要です)。
isToken を変更します。3 番目のパラメータが false に設定され、送信され、指定されたアクションが実行されます。
さて、これまでのところ、どこかにバグがあるかどうかはわかりません。長期使用するとデバッグや変更が遅くなります
http://www.bkjia.com/PHPjc/318686.html
声明:
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。