电子邮件确认码的最佳实践

我正在创建一个涉及用户注册的 PHP 网站，我想知道“电子邮件确认”代码的最佳实践。

新用户必须确认他们的电子邮件地址 - 我通过生成代码并将其通过电子邮件发送给用户来做到这一点，然后用户可以使用该代码来激活他的帐户。我没有将此密钥存储在数据库中，而是使用了一个方便的小解决方法：代码是以下结果：

md5("xxxxxxxxx".$username."xxxxxxxxxxx".$timestamp."xxxxxxxxx");

其中$timestamp指的是用户创建时间。总的来说，我对此非常满意，但后来我开始思考，这足够安全吗？那么碰撞的可能性又如何呢？而且我还需要生成用于密码重置等的代码。如果我使用类似的方法，冲突可能会导致一个用户无意中重置另一个用户的密码。那可不行。

那么你如何做这些事情呢？我的想法是以下格式的表格：

codePK (int, a-I), userID (int), type (int), code (varchar 32), date (timestamp)

其中“type”为 1、2 或 3，表示“激活”、“电子邮件更改”或“密码重置”。这是一个好方法吗？你有更好的办法吗？

使用与上述类似的方法，我可以在不使用 cron-jobs 的情况下自动删除超过两天的内容吗？我的主机（nearlyfreespeech.net）不支持它们。如果可能的话，我想避免在外部主机上执行 cron 作业，其中 wget 是一个删除内容的脚本，因为这很混乱 =P。

Thanks!
Mala

Update:
澄清一下：我已经意识到安全地完成此任务的唯一方法是使用数据库，这正是原始函数试图避免的。我的问题是如何构建该表（或多个表？）。有人建议我取消 codePK，只让代码成为 PK。简而言之，我的问题是：这是你所做的吗？

当我需要这些技巧时，通常是您提到的两个原因之一：

1. 作为发送给用户的验证电子邮件的密钥
2. 作为用于密码重置链接的密钥

当然，还有许多其他场合您会考虑使用这种结构。

首先，您应该始终使用某种隐藏的、只有您知道的盐。请注意，每个用户的盐值应该不同。例如，盐可以计算为sha256(something random)。然后，该盐应与用户名和密码（用盐散列）一起存储在数据库中。

发送密码重置链接时我会做的是创建另一个盐（不要让用户访问用你的盐哈希的任何内容。他知道他的密码，所以使用暴力他可能会找出你的盐）。另一种盐，本质上只是随机字符串的散列（您可能想要在这里使用 md5，正如您提到的长度是一个问题），然后您应该将其保存到数据库中。

通常，您只需向用户表添加一个附加列即可。不过这样也有一些问题，主要是一旦重置了密码或者激活了用户，就会从数据库中删除这个key，导致大部分行都是空值，进而带来一些其他的麻烦。

这本质上可以归结为：

• 使用用户独有的盐对用户的密码进行哈希处理（and也许是一种全球性的秘密盐）。
• 通过散列许多随机或伪随机源（例如时间戳）来生成密钥，mt_rand()如果你真的想要随机的东西，甚至是 random.org。
• 切勿使用全局盐或用户独有的盐来对用户可以访问的任何内容进行哈希处理，包括密码重置密钥、激活密钥等。

请注意，我绝不是安全专家，我可能忘记了很多事情，而且我可能提到了一些非常糟糕的做法。只是我的 5 美分;-)