PHP令牌 Token改进版
2015-01-24信息快讯网
那个版本中,存在一个小问题,因为要做可逆加密,而加密出来的字符是不可显示字符+乱码,所以我用了 base64对其进行了处理,这样一来,就不会有乱码和不可显示字符了。
正是由于使用了 base64 ,所以在把这个令牌通过 GET方法发送的时候,出现了问题。比如:http://test/test.php?a=1+2
你用 $_GET["a"] 取得是:1 2 ,即那个加号没有了。一开始我用 urlencode 对其进行转换,但是总有那么一两的结果是意料外的。
后来想想 base64 的字符就限定于: [A-Za-z0-9\+\/=] 这么多,加号出问题,我就把加号换成不出问题的符号,下划线是最好的选择。下面是修改后的代码:
GEncrypt.inc.php
<?php class GEncrypt { protected static function keyED($txt, $encrypt_key) { $encrypt_key = md5 ( $encrypt_key ); $ctr = 0; $tmp = ""; for($i = 0; $i < strlen ( $txt ); $i ++) { if ($ctr == strlen ( $encrypt_key )) $ctr = 0; $tmp .= substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 ); $ctr ++; } return $tmp; } public static function encrypt($txt, $key) { $encrypt_key = md5 ( (( float ) date ( "YmdHis" ) + rand ( 10000000000000000, 99999999999999999 )) . rand ( 100000, 999999 ) ); $ctr = 0; $tmp = ""; for($i = 0; $i < strlen ( $txt ); $i ++) { if ($ctr == strlen ( $encrypt_key )) $ctr = 0; $tmp .= substr ( $encrypt_key, $ctr, 1 ) . (substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 )); $ctr ++; } return ( preg_replace("/\\+/s","_", base64_encode ( self::keyED ( $tmp, $key ) ) )); } //base64 [A-Za-z0-9\+\/=] public static function decrypt($txt, $key) { if($txt == ""){ return false;} //echo preg_replace("/_/s","+",$txt); $txt = self::keyED (base64_decode ( preg_replace("/_/s","+", $txt) ), $key ); $tmp = ""; for($i = 0; $i < strlen ( $txt ); $i ++) { $md5 = substr ( $txt, $i, 1 ); $i ++; $tmp .= (substr ( $txt, $i, 1 ) ^ $md5); } return $tmp; } } ?>
GToken.inc.php
<?php /** * 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action) * 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。 * */ class GToken { /** * 得到当前所有的token * * @return array */ public static function getTokens(){ $tokens = $_SESSION[GConfig::SSN_KEY_TOKEN ]; if (empty($tokens) && !is_array($tokens)) { $tokens = array(); } return $tokens; } /** * 产生一个新的Token * * @param string $formName * @param 加密密钥 $key * @return string */ public static function newToken($formName,$key = GConfig::ENCRYPT_KEY ){ $token = GEncrypt::encrypt($formName.session_id(),$key); return $token; } /** * 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。 * * @param string $token */ public static function dropToken($token){ $tokens = self::getTokens(); $tokens[] = $token; GSession::set(GConfig::SESSION_KEY_TOKEN ,$tokens); } /** * 检查是否为指定的Token * * @param string $token 要检查的token值 * @param string $formName * @param boolean $fromCheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至. * @param string $key 加密密钥 * @return boolean */ public static function isToken($token,$formName,$fromCheck = false,$key = GConfig::ENCRYPT_KEY){ if(empty($token)) return false; $tokens = self::getTokens(); if (in_array($token,$tokens)) //如果存在,说明是以使用过的token return false; $source = GEncrypt::decrypt($token,$key); if($fromCheck) return $source == $formName.session_id(); else{ return strpos($source,$formName) === 0; } } public static function getTokenKey($token,$key = GConfig::ENCRYPT_KEY){ if($token == null || trim($token) == "") return false; $source = GEncrypt::decrypt($token,$key); return $source != "" ? str_replace(session_id(),"",$source) : false; } public function newTokenForSmarty($params){ $form = null; extract($params); return self::newToken($form); } } ?>
PHP chmod 函数与批量修改文件目录权限
php file_exists 检查文件或目录是否存在的函数
php disk_free_space 返回目录可用空间
PHP is_dir() 判断给定文件名是否是一个目录
php is_file 判断给定文件名是否为一个正常的文件
php 仿Comsenz安装效果代码打包提供下载
PHP中冒号、endif、endwhile、endfor使用介绍
PHP 开发环境配置(Zend Studio)
PHP 开发环境配置(Zend Server安装)
php file_get_contents函数轻松采集html数据
PHP Socket 编程
Cakephp 执行主要流程
PHP CKEditor 上传图片实现代码
初学CAKEPHP 基础教程
php win下Socket方式发邮件类
Discuz 模板引擎的封装类代码
php下intval()和(int)转换使用与区别
PHP入门学习的几个不错的实例代码
php通用检测函数集合第1/3页
php header()函数使用说明
php下实现一个阿拉伯数字转中文数字的函数
php zend解密软件绿色版测试可用
修改Zend引擎实现PHP源码加密的原理及实践
PHP实现Socket服务器的代码
WINDOWS下php5.2.4+mysql6.0+apache2.2.4+ZendOptimizer-3.3.0配置
FCKeditor添加自定义按钮
PHP Token(令牌)设计
在PHP中使用Sockets 从Usenet中获取文件
mysql 的 like 问题,超强毕杀记!!!