CSRF対策のトークンの生成方法について

0
HARUYAMA Seigo @haruyama

@php_recipe 2009年に md5(uniqid(mt_rand(), TRUE)) なんて書いてる書籍は問題外だと思います.

2010-05-25 23:48:08
『PHP逆引きレシピ 第2版』 @php_recipe

@haruyama どこにどのような問題がありますでしょうか?

2010-05-29 21:20:09
HARUYAMA Seigo @haruyama

@php_recipe http://takagi-hiromitsu.jp/diary/20060409.html 方式もそうですが「もう一つの推奨しない理由」のほうで uniq_id()や(mt_)rand()が暗号学的に安全ではなく不適です.

2010-05-29 21:54:41
『PHP逆引きレシピ 第2版』 @php_recipe

@haruyama よりよい方法があればご教示をお願いしたいです

2010-05-30 10:01:22
HARUYAMA Seigo @haruyama

@php_recipe セッションIDの利用です. さらに, セッションIDの安全性を高めるためにsession.entropy_file などの設定(環境に依存します)をするのが望ましいでしょう.

2010-05-30 11:07:49
HARUYAMA Seigo @haruyama

@php_recipe さらにPHP5.3以降ではsession.hash_function でhash拡張の任意のハッシュ関数が利用できるので, セッションIDの長さを長くすることができます.

2010-05-30 11:08:27

いま話題のタグ

追放されたチート付与魔術師は気ままなセカンドライフを謳歌する。12 知念実希人50 ザ!鉄腕!DASH!!526 氷河期世代131 くまモン143 刀剣乱舞2625 インターネット老人会392 海外旅行1384 話題14897 2512 超算数45 フランス909 リュウジ70 美味しんぼ264 日本語1612