如何在 php 中创建“好的”随机 md5 哈希？

Question

在某些情况下，我需要创建随机 md5 哈希。你知道最好/最安全的方法是什么吗？

一些用例

• 验证电子邮件地址
• 重置密码
• 某种用于身份验证的会话 ID，而不是密码（例如：当有人点击“记住我”时，我不想将通行证存储在 cookie 中）

背景

我知道rand() 不应该用于安全相关的应用程序。出于这个原因，我选择了：

md5( uniqid(mt_rand(),true) );

现在我在php manual 中读到关于uniqid()，它不得用于安全目的。哪种是有意义的，因为它通常只给出时间戳之类的东西。

但是与随机前缀 - mt_rand() 结合时是否可以，就像我一样，或者在这种情况下应该使用更好的东西吗？

提前谢谢！

Answer 1

您不需要“MD5 哈希”，您只需要一个随机字符串。这些根本不需要与 MD5 有任何关系。所以你所需要的只是一个好的 PRNG。例如：

$token = mcrypt_create_iv($rawLength, MCRYPT_DEV_URANDOM);
// or
$token = openssl_random_pseudo_bytes($rawLength);
// or
$token = file_get_contents('/dev/urandom', false, null, 0, $rawLength);

然后base64_encode或bin2hex原始值得到一个ASCII字符串。

Answer 2

我刚刚完成了一个相当健壮的 Bash 脚本的开发，它可以生成质量不错的 md5sum。你可以找到它https://code.google.com/p/gen-uniq-id/source/browse/gen_uniq_id.bsh

它具有以下特点：

时间戳精确到纳秒，

用户可修改的从 /dev/urandom 收集的数据量（默认为 0.25 秒），

用户可修改的收集到的鼠标移动数据量（默认为 0.25 秒，只需使用 xinput --list 并使用 -M<your_mouse_device_id> 运行一次），

可动态修改的文本语句，可设置为默认值或随每次调用动态发送，例如-s"$(history | tail -5)"。

您可能可以轻松地移植到 PHP 或通过 shell_exec 从 PHP 调用它：
$random_md5sum = shell_exec('/path/to/gen_uniq_id.bsh -m1 -r1 -s"favorite quote$(history | tail -5)"');