V souvislosti s rozšířením spamovacích robotů a technik typu „session riding“ je stále častěji potřeba mít jednoduchý generátor unikátních identifikátorů, který splňuje jisté požadavky. Takový generátor v jazyce PHP vám nabízím.

Princip zabezpečení formulářů pomocí unikátního identifikátoru (dále ID) je prostý: Do formuláře je vložen při jeho generování na straně serveru jednoznačný řetězec, který si zároveň server poznamená jako „vydaný“. Pokud přijde odeslaný formulář, zkontroluje server tento řetězec a ověří, že už byl vydán a že zároveň nebyl použit. Pokud tyto požadavky splňuje, označí jej server jako použitý a data přijme. Pokud řetězec nevyhovuje, server data odmítne.

Podobný princip lze použít i pro AJAXové požadavky.

Požadavky na generátor

Jako své požadavky na generátor takových ID jsem určil tyto:

• 1. Nebudou vydány dva stejné ID v jeden čas

• 2. Vydaný ID lze použít k poslání dat pouze jednou

• 3. Jednou použitý ID nebude vydán nikdy v budoucnu

• 4. Vydaný ID lze použít pouze z té adresy, pro níž byl vydán

• 5. Platnost vydaného ID je zajištěna pouze po předem stanovenou dobu, po jejím uplynutí už není použitelnost vydaného ID zaručena

• 6. Nelze použít ID, který nebyl serverem vydán

Řešení

Knihovna uniqID generuje identifikátory založené na aktuálním čase (časové razítko + mikrosekundy), tím splňuje požadavek 3. Ke splnění požadavku 1 je ke každému ID přidáno náhodné šestimístné číslo. Existuje tedy nenulová pravděpodobnost, že budou ve stejný časový okamžik vygenerovány dva identifikátory a bude jim přidáno stejné náhodné číslo, ale pravděpodobnost je natolik malá, že ji možno pro tyto účely zanedbat.

Po vygenerování identifikátoru si server vytvoří v pracovním adresáři soubor se stejným jménem. Při kontrole vydaného uniqID se kontroluje existence tohoto souboru (požadavek 6) a pokud existuje, je smazán (požadavek 2). Jako platný je uniqID vyhodnocen pouze tehdy, když se podařilo smazat soubor.

Požadavek ad 4 je zajištěn tím, že do výše zmíněného souboru si server při jeho generování poznamená část IP adresy klienta. Požadavek ad 4 tak není splněn zcela, na druhou stranu je tímto způsobem ošetřena většina případů, kdy je klient, např. s vytáčeným spojením, mezi vygenerováním a použitím uniqID odpojen a znovu připojen - počítá se s tím, že se změní jen část IP.

Požadavek ad 5 je řešen CRONem, který v pravidelných intervalech prochází seznam vydaných uniqID a maže ty, které jsou starší než určený čas.

Vygenerované identifikátory jsou před použitím ošetřeny pomocí jednoduchého zakódování, kdy je jednoduchý číselný řetězec, vzniklý při generování, upraven tím, že jsou jednotlivé číslice nahrazeny různými písmeny (jedna číslice může být zakódována několika různými písmeny) a jejich pořadí je změněno. Před kontrolou je řetězec opět dekódován. Konkrétní přiřazení znaků k číslicím, stejně jako konkrétní změny pořadí, je možno individuálně nastavit. Knihovna obsahuje nástroj pro generování náhodných šifrovacích informací. Tento nástroj je dostupný i online: uniqGEN.

Použití knihovny

Stáhněte si soubor uniq.php . Na řádku define('UNIQ_PATH','*******',1); vyplňte cestu k adresáři, v němž budou uloženy soubory s vydanými identifikátory. Skript musí mít právo do tohoto adresáře zapisovat.

Pomocí nástroje uniqGEN (PHP skript uniqgen.php ) si vygenerujte informace pro šifrování ID. Dva vygenerované řádky vložte na označené místo ve skriptu uniq.php.

Pokud chcete, můžete na řádku define('UNIQ_TTL','3600',1); změnit dobu platnosti vydaných identifikátorů (v sekundách).

Skript uniq.php nahrajte na server a includujte jej do svých skriptů. Použití je prosté a je vidět v souboru index.php . UniqID je 26znakový řetězec a je vrácen jako návratová hodnota při volání funkce getuniq(). Platnost uniqID, který skript obdržel od klienta, lze pak ověřit voláním funkce checkuniq($uniqid), jejímž parametrem je předaný identifikátor a návratová hodnota je buď 1, pokud je identifikátor vyhodnocen jako platný, nebo 0, pokud došlo k libovolné chybě.

Ke korektní funkci knihovny je potřeba zajistit občasné volání funkce purgeuniq(). Nejjednodušší způsob je využít k tomu účelu připravený skript cron.php . Pokud vaše aplikace řeší pravidelné úlohy jinak, můžete použít vlastní způsob.

Download

Knihovna je dostupná pod licencí MIT. Na Google Code je pod názvem uniqid-php . Můžete si ji stáhnout i pomocí Subversion (svn checkout http://uniqid-php.googlecode.com/svn/trunk/ uniqid-php) či přímo ze Subversion repository . (viz též Jak začít pracovat s Google Code )