有没有人知道如何string在PHP中生成一个长的(例如280个字符)随机而不必使用for循环将循环字符280次?我需要它来创建自定义会话ID.
在我看来,PHPSESSID不够安全太短而且不太随机.我知道Facebook和Twitter,使用长会话ID(分别为150,550个字符).
可以选择使用MD5字符串或Bcrypt加密不同的字符串,如PHPSESSID主机,用户代理等,但我不确定这是否正确.
Bor*_*éry 11
如果你问这样的问题,可能意味着你对密码学或安全性一无所知.试图生成一个"长随机字符串",因为正如你所说,"PHPSESSID不够安全"可能会引导你进行自定义和不安全的实现.
生成随机字符串是不可能的,至少不是您当前的硬件:您可以近似一个公平的伪随机生成器,但这仅用于教育目的.
PHP的会话ID生成算法相当有效; 如果你认为它不够安全,那么你可能会浪费时间让它变得更好.如果您正在考虑最高安全性(例如,使用客户端证书),您可能希望使用不同的身份验证机制.
如果Twitter,Facebook或具有类似流量的其他网站等网站使用较长的会话ID,则可能不是因为它更安全(在某种程度上),而是因为它避免了冲突.
最后,如果您想要更长的会话ID而不尝试编写自己的算法,则应使用以下PHP配置指令:
session.hash_function 这可以采用PHP已知的任何哈希算法.
您可能还想使用session.bits_per_characters缩短或延长字符串.请注意,如果这样做,字符串可能会更长或更短,但数据保持不变 - 仅表示不同(基数为16,基数为32等)
附加信息:
您还可以通过使用自定义源(文件)并设置种子长度来增加熵:
ini_set("session.hash_function", "sha512");
ini_set("session.bits_per_charater", 4); // 4 means hex
ini_set("session.entropy_file", "/dev/urandom");
ini_set("session.entropy_length", "512");
它可以是二进制十六进制吗?
bin2hex(mcrypt_create_iv(140, MCRYPT_DEV_URANDOM));
或者,如果您有权访问hash_pbkdf2():
hash_pbkdf2('sha256', PHPSESSID, mt_rand(), 1, 280, false);