dav*_*ave 8 php security registration
当用户注册帐户时,他们会收到一封包含验证码的电子邮件,他们可以点击该验证码验证其帐户.
这就是我生成验证码的方法.
md5(rand(0,1000)
使用下面的方法是一个糟糕的选择?它生成0-1000之间的随机数.由于只有1000个选项,并且他们的MD5哈希值是已知的,因此攻击者只需1000次审判即可验证帐户,而不会真正属于他们
只需用攻击者无法知道的东西播种即可:
md5(rand(0,1000).'helloworld234');
你的疯狂程度是没有限制的
md5(md5(time().'helloguys'.rand(0,9999)));
太多了,但你明白了。