电子邮件激活安全校验和

Question

我一直在我的网站上询问一些反馈，收到的一条评论如下

“我注册了 [电子邮件受保护] 并设法通过 http://www.mysite.co.uk/[电子邮件受保护]

您需要校验和才能阻止它。"

有人可以详细说明这一点以及我如何将它们实施到我的激活中吗？

---

理论上，如果我要在数据库中创建名为“rand_key”的行，并且当用户注册时，随机密钥存储在该列中，那么我可以使用它作为激活而不是电子邮件吗？从而使其不可猜测？

Answer 1

您需要创建一个唯一的用户密钥，该密钥不应与用户数据相关。通常，您可以执行一些操作，例如对随机生成器函数的输出进行哈希处理，以使其唯一并使用它。然后你将他们指向链接：

http://www .mysite.co.uk/activateuser.php?userid= generated-unique-hashed-key

此唯一用户密钥应作为额外字段添加到存储用户信息或与用户相关的表中以其他方式。通过保持密钥与用户数据无关，您可以确保没有人可以发现用户的密钥并代替您的用户恶意激活/执行其他操作。

然后，您应该在到达时测试用户密钥的某些条件：

• 尚未授权 - 授权
• 已授权 - 一些错误
• 错误的密钥 - 一些错误

另外，应该有一个与您的用户关联的到期日期，在此日期后您只需停用该用户即可他的钥匙。

Answer 2

此人意味着您可以通过访问该网址并将电子邮件地址放入该网址来激活您的地址。您可以在没有实际收到激活电子邮件的情况下执行此操作。

通过使用校验和，您可以强制用户单击该链接。例如
[电子邮件受保护]&check=A1234b23

发送电子邮件时，您会生成一个随机代码。将其存储在数据库中的某个位置。将其附加到给定用户的 url 中。当用户单击该链接时，您会检查该代码是否与为该电子邮件地址存储的代码相匹配。如果匹配，请验证电子邮件。否则不。

Answer 3

理论上，如果我要创建一行
在我的数据库中命名为“rand_key”，当
用户注册存储随机密钥
在专栏中，我可以使用这个吗
作为激活而不是
电子邮件？从而使其不可猜测？​​

是的。请记住，您不一定需要随机性，而需要唯一性（以避免两个电子邮件地址意外获得相同的激活码）。

你可以这样做：

$key = mt_rand().'-'.uniqid('', true);

echo 'http://mysite.com/activate?key='.urlencode(base64_encode($key));

这很难猜测，并且保证是唯一的。