چطور توکن بسازم با php؟؟؟

نمایش نسخه قابل چاپ

April 3rd, 2017, 20:17
mojtabakh18

چطور توکن بسازم با php؟؟؟

سلام

بعضی سایت ها برای صفحه ثبت نام یا لینک خروج تهش یه کد هست که بهش میگن توکن یک بار مصرف!

چی هست این و چطوری میشه ساخت؟؟
April 3rd, 2017, 20:38
phpcoding

پاسخ : چطور توکن بسازم با php؟؟؟

توکن برای اعتبار سنجی کاربران واقعی سمت کلاینت و روبات هایی هستن که به صورت مثال با کارل نوشته میشن . هیچ روش خاصی برای ساختنش هیچ فرمول مشخصی نیست و برنامه نویس بسته به سلیقه خودش و البته تجربه اش فرمول نوشتن توکن رو تایین میکنه . خیلی از برنامه نویسا که بلد نیستن یا حالشو ندارن به قول معروف میان از این راه که ساده ترین و عامیانه ترین راهشه برای ساخت توکن استفاده میکنن :

کد PHP:

md5(date("U"));

ولی خب برای ساخت توکن هیچ رمول خاص مشخصی یا هیچ تابع مشخصی وجود نداره که کسی بگه الا و لله این فرموله الا یا لله فقط md5 هستش . خود من در توکن اسکریپت های اختصاصیم از base64 و str_rot13 و gzinflate و تابع دست ساز خودم یعنی random_characters استفاده میکنم
حق
April 3rd, 2017, 20:40
mojtabakh18

پاسخ : چطور توکن بسازم با php؟؟؟

نقل قول:

نوشته اصلی توسط phpcoding

توکن برای اعتبار سنجی کاربران واقعی سمت کلاینت و روبات هایی هستن که به صورت مثال با کارل نوشته میشن . هیچ روش خاصی برای ساختنش هیچ فرمول مشخصی نیست و برنامه نویس بسته به سلیقه خودش و البته تجربه اش فرمول نوشتن توکن رو تایین میکنه . خیلی از برنامه نویسا که بلد نیستن یا حالشو ندارن به قول معروف میان از این راه که ساده ترین و عامیانه ترین راهشه برای ساخت توکن استفاده میکنن :

کد PHP:

md5(date("U"));

ولی خب برای ساخت توکن هیچ رمول خاص مشخصی یا هیچ تابع مشخصی وجود نداره که کسی بگه الا و لله این فرموله الا یا لله فقط md5 هستش . خود من در توکن اسکریپت های اختصاصیم از base64 و str_rot13 و gzinflate و تابع دست ساز خودم یعنی random_characters استفاده میکنم
حق

ممنون

خب حالا میگیریم توکن رو به یک روشی ساختیم( کاری نداره تا اینجا)

حالا در مورد اعتبارسنجی کاربر واقعی و ربات چطور ازش استفاده کنم؟؟؟؟
April 3rd, 2017, 20:43
hegza

پاسخ : چطور توکن بسازم با php؟؟؟

نقل قول:

نوشته اصلی توسط mojtabakh18

ممنون

خب حالا میگیریم توکن رو به یک روشی ساختیم( کاری نداره تا اینجا)

حالا در مورد اعتبارسنجی کاربر واقعی و ربات چطور ازش استفاده کنم؟؟؟؟

ایمیل میکنید براش یا اس ام اس میدین
یک لینک که حاویه توکنه هست
در هر صورت بهترین راه حفاظت از سایت در مرحله ثبت نامه
برای توکن هم میتونید از کپچا استفاده کنید یا یک چک باکس خاص و هزار ترفند دیگه کوکی/ سشن و... بستگی به شما داره و ساختار کاریتون
ولی عموما اینکار رو نمیکنن
April 3rd, 2017, 20:47
phpcoding

پاسخ : چطور توکن بسازم با php؟؟؟

نقل قول:

نوشته اصلی توسط mojtabakh18

ممنون

خب حالا میگیریم توکن رو به یک روشی ساختیم( کاری نداره تا اینجا)

حالا در مورد اعتبارسنجی کاربر واقعی و ربات چطور ازش استفاده کنم؟؟؟؟

برای اعتبار سنجیش میتونید اون توکن* رو در نشست ها (SESSIONS) یا کوکی ها (COOKIES) ذخیرش کنید . داخل فرم ورود یا ثبت نام یا ... داخل تگ فرم یا حالا درخواست ایجکستون به صورت hidden بارگذاری کنید و بدینش به پارامتر های GET یا POST
April 3rd, 2017, 21:02
MJmoonwalk

پاسخ : چطور توکن بسازم با php؟؟؟

از Google I am Not a Robot استفاده کن. توی گوگل جستجو کن روش بکارگیریش هست. زبان فارسی هم داره سایت های بزرگ دارن ازش استفاده میکنند.
April 3rd, 2017, 21:04
mojtabakh18

پاسخ : چطور توکن بسازم با php؟؟؟

نقل قول:

نوشته اصلی توسط MJmoonwalk

از Google I am Not a Robot استفاده کن. توی گوگل جستجو کن روش بکارگیریش هست. زبان فارسی هم داره سایت های بزرگ دارن ازش استفاده میکنند.

ممنون

سایت فارسی میشناسی خوب توضیح داده باشه راه اندازیشو؟؟
April 4th, 2017, 00:57
rezaonline.net

پاسخ : چطور توکن بسازم با php؟؟؟

نقل قول:

نوشته اصلی توسط mojtabakh18

سلام

بعضی سایت ها برای صفحه ثبت نام یا لینک خروج تهش یه کد هست که بهش میگن توکن یک بار مصرف!

چی هست این و چطوری میشه ساخت؟؟

برای جلوگیری از حملات csrf هست .
یه کد بسازید با استفاده از توابع uniqid یا md5 و ... و توی سشن ذخیره کنید .
در انتهای آدرس خروج هم بعنوان پارامتر بذارید .
در فایلی که عملیات خروج انجام میشه ، پارامتر رو با مقدار سشن مطابقت بدید.

گوگل هم بکنید مطالب بیشتری هست
https://www.google.com/search?num=10....0.b_JzNUpY6Hk

حملات csrf که روی لینک خروج ایجاد میشه برای مزاحمته بیشتر
فرض کنید لینک خروج انجمن اینه
http://www.webhostingtalk.ir/login.php?do=logout
شما توی سایت خودت یه صفحه میذاری و توش مینویسی

کد:

<img src='http://www.webhostingtalk.ir/login.php?do=logout'>

بعد میای توی انجمن یه پست میذاری و آدرس سایتتو که کد بالا رو توش گذاشتی میذاری
هر کس بره توی آدرسه از انجمن پرت میشه بیرون
اما اگر token داشته باشه آدرس خروجت دیگه هر کسی آدرس خروج مخصوص به خودشو داره :)
امیدوارم تا حدی مساله روشن شده باشه برات .
April 4th, 2017, 14:13
mojtabakh18

پاسخ : چطور توکن بسازم با php؟؟؟

نقل قول:

نوشته اصلی توسط rezaonline.net

برای جلوگیری از حملات csrf هست .
یه کد بسازید با استفاده از توابع uniqid یا md5 و ... و توی سشن ذخیره کنید .
در انتهای آدرس خروج هم بعنوان پارامتر بذارید .
در فایلی که عملیات خروج انجام میشه ، پارامتر رو با مقدار سشن مطابقت بدید.

گوگل هم بکنید مطالب بیشتری هست
https://www.google.com/search?num=10....0.b_JzNUpY6Hk

حملات csrf که روی لینک خروج ایجاد میشه برای مزاحمته بیشتر
فرض کنید لینک خروج انجمن اینه
http://www.webhostingtalk.ir/login.php?do=logout
شما توی سایت خودت یه صفحه میذاری و توش مینویسی

کد:

<img src='http://www.webhostingtalk.ir/login.php?do=logout'>

بعد میای توی انجمن یه پست میذاری و آدرس سایتتو که کد بالا رو توش گذاشتی میذاری
هر کس بره توی آدرسه از انجمن پرت میشه بیرون
اما اگر token داشته باشه آدرس خروجت دیگه هر کسی آدرس خروج مخصوص به خودشو داره :)
امیدوارم تا حدی مساله روشن شده باشه برات .

ممنون عالی بود