搜尋
首頁php教程php手册PHP令牌 Token改进版

PHP令牌 Token改进版

Jun 13, 2016 pm 12:28 PM
base64getphptoken令牌改進方法這個透過

正是由于使用了 base64 ,所以在把这个令牌通过 GET方法发送的时候,出现了问题。
比如:http://test/test.php?a=1+2
你用 $_GET["a"] 取得是:1 2 ,即那个加号没有了。一开始我用 urlencode 对其进行转换,但是总有那么一两的结果是意料外的。

后来想想 base64 的字符就限定于: [A-Za-z0-9\+\/=] 这么多,加号出问题,我就把加号换成不出问题的符号,下划线是最好的选择。下面是修改后的代码:

GEncrypt.inc.php

复制代码 代码如下:


class GEncrypt { 
 protected static function keyED($txt, $encrypt_key) { 
  $encrypt_key = md5 ( $encrypt_key ); 
  $ctr = 0; 
  $tmp = ""; 
  for($i = 0; $i    if ($ctr == strlen ( $encrypt_key )) 
    $ctr = 0; 
   $tmp .= substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 ); 
   $ctr ++; 
  } 
  return $tmp; 
 } 

 public static function encrypt($txt, $key) { 
  $encrypt_key = md5 ( (( float ) date ( "YmdHis" ) + rand ( 10000000000000000, 99999999999999999 )) . rand ( 100000, 999999 ) ); 
  $ctr = 0; 
  $tmp = ""; 
  for($i = 0; $i    if ($ctr == strlen ( $encrypt_key )) 
    $ctr = 0; 
   $tmp .= substr ( $encrypt_key, $ctr, 1 ) . (substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 )); 
   $ctr ++; 
  } 
  return ( preg_replace("/\\+/s","_", base64_encode ( self::keyED ( $tmp, $key ) ) )); 
 } 
 //base64 [A-Za-z0-9\+\/=] 
 public static function decrypt($txt, $key) { 
  if($txt == ""){ return false;}  
  //echo preg_replace("/_/s","+",$txt); 
  $txt = self::keyED (base64_decode ( preg_replace("/_/s","+", $txt) ), $key ); 
  $tmp = ""; 
  for($i = 0; $i    $md5 = substr ( $txt, $i, 1 ); 
   $i ++; 
   $tmp .= (substr ( $txt, $i, 1 ) ^ $md5); 
  } 
  return $tmp; 
 } 


?> 


GToken.inc.php

复制代码 代码如下:


/** 
 * 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action) 
 * 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。 
 * 
 */ 
class GToken { 

 /** 
  * 得到当前所有的token 
  * 
  * @return array 
  */ 
 public static function getTokens(){ 
  $tokens = $_SESSION[GConfig::SSN_KEY_TOKEN ]; 
  if (empty($tokens) && !is_array($tokens)) { 
   $tokens = array(); 
  } 
  return $tokens; 
 } 

 /** 
  * 产生一个新的Token 
  * 
  * @param string $formName 
  * @param 加密密钥 $key 
  * @return string 
  */ 

 public static function newToken($formName,$key = GConfig::ENCRYPT_KEY ){ 
  $token = GEncrypt::encrypt($formName.session_id(),$key); 
  return $token; 
 } 

 /** 
  * 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。 
  * 
  * @param string $token 
  */ 
 public static function dropToken($token){ 
  $tokens = self::getTokens(); 
  $tokens[] = $token; 
  GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens); 
 } 

 /** 
  * 检查是否为指定的Token 
  * 
  * @param string $token 要检查的token值 
  * @param string $formName  
  * @param boolean $fromCheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至. 
  * @param string $key 加密密钥 
  * @return boolean 
  */ 

 public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){ 
  if(empty($token)) return false; 

  $tokens = self::getTokens(); 

  if (in_array($token,$tokens)) //如果存在,说明是以使用过的token 
   return false; 

  $source = GEncrypt::decrypt($token,$key); 

  if($fromCheck) 
   return $source == $formName.session_id(); 
  else{ 
   return strpos($source,$formName) === 0; 
  } 
 } 

 public static function getTokenKey($token,$key = GConfig::ENCRYPT_KEY){ 
  if($token == null || trim($token) == "") return false; 
  $source = GEncrypt::decrypt($token,$key); 
  return $source != "" ? str_replace(session_id(),"",$source) : false; 
 } 

 public function newTokenForSmarty($params){ 
  $form = null; 
  extract($params); 
  return self::newToken($form); 
 } 

?> 

陳述
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn

熱AI工具

Undresser.AI Undress

Undresser.AI Undress

人工智慧驅動的應用程序,用於創建逼真的裸體照片

AI Clothes Remover

AI Clothes Remover

用於從照片中去除衣服的線上人工智慧工具。

Undress AI Tool

Undress AI Tool

免費脫衣圖片

Clothoff.io

Clothoff.io

AI脫衣器

Video Face Swap

Video Face Swap

使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!

熱工具

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

強大的PHP整合開發環境

mPDF

mPDF

mPDF是一個PHP庫,可以從UTF-8編碼的HTML產生PDF檔案。原作者Ian Back編寫mPDF以從他的網站上「即時」輸出PDF文件,並處理不同的語言。與原始腳本如HTML2FPDF相比,它的速度較慢,並且在使用Unicode字體時產生的檔案較大,但支援CSS樣式等,並進行了大量增強。支援幾乎所有語言,包括RTL(阿拉伯語和希伯來語)和CJK(中日韓)。支援嵌套的區塊級元素(如P、DIV),

SecLists

SecLists

SecLists是最終安全測試人員的伙伴。它是一個包含各種類型清單的集合,這些清單在安全評估過程中經常使用,而且都在一個地方。 SecLists透過方便地提供安全測試人員可能需要的所有列表,幫助提高安全測試的效率和生產力。清單類型包括使用者名稱、密碼、URL、模糊測試有效載荷、敏感資料模式、Web shell等等。測試人員只需將此儲存庫拉到新的測試機上,他就可以存取所需的每種類型的清單。

SAP NetWeaver Server Adapter for Eclipse

SAP NetWeaver Server Adapter for Eclipse

將Eclipse與SAP NetWeaver應用伺服器整合。

MinGW - Minimalist GNU for Windows

MinGW - Minimalist GNU for Windows

這個專案正在遷移到osdn.net/projects/mingw的過程中,你可以繼續在那裡關注我們。 MinGW:GNU編譯器集合(GCC)的本機Windows移植版本,可自由分發的導入函式庫和用於建置本機Windows應用程式的頭檔;包括對MSVC執行時間的擴展,以支援C99功能。 MinGW的所有軟體都可以在64位元Windows平台上運作。