暗号化の方法を見つけました。 コードは次のとおりです:
& lt;? PHPClass GenCrypt Extends GsuperClass { コードをコピーします コードは次のとおりです:
ProteCted Static Function Keyed ($ TXT, $ ENCRYPT_KEY) {
$ ENCRYPT_KEY = MD5 ($ ENCRYPT _Key); ;
$ tmp = "" ";
for ($ i=0;$i
$ tmp.= substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1); t,$key){
32000));
$encrypt_key = md5(((float) date(" YmdHis") + rand(10000000000000000,99999999999999999)).rand(100000,999999));
$ctr=0;
$tmp = "";
for ($i=0;$i
$tmp.= substr($encrypt_key,$ ctr,1) . (substr($txt,$i,1) ^ substr($encrypt_key,$ctr,1)); $key) );
}
public static function decrypt($txt,$key){
$txt = self::keyED(base64_decode($txt),$key) ; $ tmp = "";
GToken.inc.php
メソッド:
a、granteToken パラメータ: formName、アクション名、key は暗号化/復号化キーです。
encryption (formName: session_id) の形式で文字列を返します。
b、isToken パラメータ。 : token は、grantToken、formName、アクション名によって生成された結果であり、fromCheck がソースをチェックするかどうか、また、true の場合は、トークン内の session_id が現在の session_id と同じかどうかも判断します
c、dropToken、これを呼び出します。アクション関数が正常に実行された後、このトークンをセッションに記録し、
/**
* 原則: トークンの割り当てをリクエストするときは、一意のトークン、base64(time + rand + action) を割り当てる方法を見つけてください。
* 送信された場合は、このトークンが以前に使用されたことを示すためにこのトークンを記録します。重複送信を避けるためです。
*
*/
class GToken {
/**
*現在のすべてのトークンを取得します*/
public static function getTokens(){
$tokens = $_SESSION[GConfig::SESSION_KEY_TOKEN ];
if (empty($tokens) && !is_array($tokens)) {
$tokens = array();
}
$tokens を返します。
}
/**
*新しいトークンを生成します*/
public static function granteToken($formName,$key = GConfig::ENCRYPT_KEY ){
$token = GEncrypt::encrypt($formName.":".session_id(),$鍵);
$token を返す;
}
/**
* トークンを削除すると、実際にはセッション内の配列に要素が追加され、データの繰り返しの送信を避けるためにそのトークンが以前に使用されたことを示します。
**/
public static function dropToken($token){
$tokens = self::getTokens();
$tokens[] = $token;
GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens);
}
/**session session_idが現在のsession_idと同じかどうか*/
public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){
$tokens = self::getTokens();
if (in_array($token,$tokens)) //如果存在,说明是使用过的トークン
return false;
$source = split(":", GEncrypt::decrypt($token,$key));
if($fromCheck)
return $source[1] == session_id() && $source[0] == $formName;
else
return $source[0] == $formName;
}
}
?>
例:
まず$_POSTからトークンを取り出してisTokenで判定する
このファイルをダウンロードしても問題ないようです
一致するアクションかどうかを判定したい場合はisTokenのformNameを変更すればOKです。非常に良い、一致しないことを証明します。
繰り返しの送信を回避できるかどうかは検証していません。
残りはソースチェックが正常に機能しているかどうかを判断します。
上記の例は生成されます。 html をローカル Web ページにコピーし (さまざまなドメインの目的を達成するため)、実行して、ソースが不明であることを確認し、アクションは実行されません (isToken の 3 番目のパラメーターを true に設定する必要があります)。 isToken を false に設定し、送信すると、指定されたアクションが実行されます。
さて、今のところ、どこかにまだバグがあるかどうかはわかりませんが、長期的に使用する場合はゆっくりとデバッグして修正する必要があります
上記は、www.stocke.com.cn のコンテンツを含む PHP トークンの設計を紹介しています。PHP チュートリアルに興味のある友人に役立つことを願っています。