PHP令牌 Token改进版
程序员文章站
2022-04-30 13:04:27
正是由于使用了 base64 ,所以在把这个令牌通过 get方法发送的时候,出现了问题。 比如:http://test/test.php?a=...
正是由于使用了 base64 ,所以在把这个令牌通过 get方法发送的时候,出现了问题。
比如:http://test/test.php?a=1+2
你用 $_get["a"] 取得是:1 2 ,即那个加号没有了。一开始我用 urlencode 对其进行转换,但是总有那么一两的结果是意料外的。
后来想想 base64 的字符就限定于: [a-za-z0-9\+\/=] 这么多,加号出问题,我就把加号换成不出问题的符号,下划线是最好的选择。下面是修改后的代码:
gencrypt.inc.php
<?php
class gencrypt {
protected static function keyed($txt, $encrypt_key) {
$encrypt_key = md5 ( $encrypt_key );
$ctr = 0;
$tmp = "";
for($i = 0; $i < strlen ( $txt ); $i ++) {
if ($ctr == strlen ( $encrypt_key ))
$ctr = 0;
$tmp .= substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 );
$ctr ++;
}
return $tmp;
}
public static function encrypt($txt, $key) {
$encrypt_key = md5 ( (( float ) date ( "ymdhis" ) + rand ( 10000000000000000, 99999999999999999 )) . rand ( 100000, 999999 ) );
$ctr = 0;
$tmp = "";
for($i = 0; $i < strlen ( $txt ); $i ++) {
if ($ctr == strlen ( $encrypt_key ))
$ctr = 0;
$tmp .= substr ( $encrypt_key, $ctr, 1 ) . (substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 ));
$ctr ++;
}
return ( preg_replace("/\\+/s","_", base64_encode ( self::keyed ( $tmp, $key ) ) ));
}
//base64 [a-za-z0-9\+\/=]
public static function decrypt($txt, $key) {
if($txt == ""){ return false;}
//echo preg_replace("/_/s","+",$txt);
$txt = self::keyed (base64_decode ( preg_replace("/_/s","+", $txt) ), $key );
$tmp = "";
for($i = 0; $i < strlen ( $txt ); $i ++) {
$md5 = substr ( $txt, $i, 1 );
$i ++;
$tmp .= (substr ( $txt, $i, 1 ) ^ $md5);
}
return $tmp;
}
}
?>
gtoken.inc.php
<?php
/**
* 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action)
* 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。
*
*/
class gtoken {
/**
* 得到当前所有的token
*
* @return array
*/
public static function gettokens(){
$tokens = $_session[gconfig::ssn_key_token ];
if (empty($tokens) && !is_array($tokens)) {
$tokens = array();
}
return $tokens;
}
/**
* 产生一个新的token
*
* @param string $formname
* @param 加密密钥 $key
* @return string
*/
public static function newtoken($formname,$key = gconfig::encrypt_key ){
$token = gencrypt::encrypt($formname.session_id(),$key);
return $token;
}
/**
* 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。
*
* @param string $token
*/
public static function droptoken($token){
$tokens = self::gettokens();
$tokens[] = $token;
gsession::set(gconfig::session_key_token ,$tokens);
}
/**
* 检查是否为指定的token
*
* @param string $token 要检查的token值
* @param string $formname
* @param boolean $fromcheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.
* @param string $key 加密密钥
* @return boolean
*/
public static function istoken($token,$formname,$fromcheck = false,$key = gconfig::encrypt_key){
if(empty($token)) return false;
$tokens = self::gettokens();
if (in_array($token,$tokens)) //如果存在,说明是以使用过的token
return false;
$source = gencrypt::decrypt($token,$key);
if($fromcheck)
return $source == $formname.session_id();
else{
return strpos($source,$formname) === 0;
}
}
public static function gettokenkey($token,$key = gconfig::encrypt_key){
if($token == null || trim($token) == "") return false;
$source = gencrypt::decrypt($token,$key);
return $source != "" ? str_replace(session_id(),"",$source) : false;
}
public function newtokenforsmarty($params){
$form = null;
extract($params);
return self::newtoken($form);
}
}
?>
比如:http://test/test.php?a=1+2
你用 $_get["a"] 取得是:1 2 ,即那个加号没有了。一开始我用 urlencode 对其进行转换,但是总有那么一两的结果是意料外的。
后来想想 base64 的字符就限定于: [a-za-z0-9\+\/=] 这么多,加号出问题,我就把加号换成不出问题的符号,下划线是最好的选择。下面是修改后的代码:
gencrypt.inc.php
复制代码 代码如下:
<?php
class gencrypt {
protected static function keyed($txt, $encrypt_key) {
$encrypt_key = md5 ( $encrypt_key );
$ctr = 0;
$tmp = "";
for($i = 0; $i < strlen ( $txt ); $i ++) {
if ($ctr == strlen ( $encrypt_key ))
$ctr = 0;
$tmp .= substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 );
$ctr ++;
}
return $tmp;
}
public static function encrypt($txt, $key) {
$encrypt_key = md5 ( (( float ) date ( "ymdhis" ) + rand ( 10000000000000000, 99999999999999999 )) . rand ( 100000, 999999 ) );
$ctr = 0;
$tmp = "";
for($i = 0; $i < strlen ( $txt ); $i ++) {
if ($ctr == strlen ( $encrypt_key ))
$ctr = 0;
$tmp .= substr ( $encrypt_key, $ctr, 1 ) . (substr ( $txt, $i, 1 ) ^ substr ( $encrypt_key, $ctr, 1 ));
$ctr ++;
}
return ( preg_replace("/\\+/s","_", base64_encode ( self::keyed ( $tmp, $key ) ) ));
}
//base64 [a-za-z0-9\+\/=]
public static function decrypt($txt, $key) {
if($txt == ""){ return false;}
//echo preg_replace("/_/s","+",$txt);
$txt = self::keyed (base64_decode ( preg_replace("/_/s","+", $txt) ), $key );
$tmp = "";
for($i = 0; $i < strlen ( $txt ); $i ++) {
$md5 = substr ( $txt, $i, 1 );
$i ++;
$tmp .= (substr ( $txt, $i, 1 ) ^ $md5);
}
return $tmp;
}
}
?>
gtoken.inc.php
复制代码 代码如下:
<?php
/**
* 原理:请求分配token的时候,想办法分配一个唯一的token, base64( time + rand + action)
* 如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。
*
*/
class gtoken {
/**
* 得到当前所有的token
*
* @return array
*/
public static function gettokens(){
$tokens = $_session[gconfig::ssn_key_token ];
if (empty($tokens) && !is_array($tokens)) {
$tokens = array();
}
return $tokens;
}
/**
* 产生一个新的token
*
* @param string $formname
* @param 加密密钥 $key
* @return string
*/
public static function newtoken($formname,$key = gconfig::encrypt_key ){
$token = gencrypt::encrypt($formname.session_id(),$key);
return $token;
}
/**
* 删除token,实际是向session 的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。
*
* @param string $token
*/
public static function droptoken($token){
$tokens = self::gettokens();
$tokens[] = $token;
gsession::set(gconfig::session_key_token ,$tokens);
}
/**
* 检查是否为指定的token
*
* @param string $token 要检查的token值
* @param string $formname
* @param boolean $fromcheck 是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.
* @param string $key 加密密钥
* @return boolean
*/
public static function istoken($token,$formname,$fromcheck = false,$key = gconfig::encrypt_key){
if(empty($token)) return false;
$tokens = self::gettokens();
if (in_array($token,$tokens)) //如果存在,说明是以使用过的token
return false;
$source = gencrypt::decrypt($token,$key);
if($fromcheck)
return $source == $formname.session_id();
else{
return strpos($source,$formname) === 0;
}
}
public static function gettokenkey($token,$key = gconfig::encrypt_key){
if($token == null || trim($token) == "") return false;
$source = gencrypt::decrypt($token,$key);
return $source != "" ? str_replace(session_id(),"",$source) : false;
}
public function newtokenforsmarty($params){
$form = null;
extract($params);
return self::newtoken($form);
}
}
?>