我正在创建一个涉及用户注册的 PHP 网站,我想知道“电子邮件确认”代码的最佳实践。
新用户必须确认他们的电子邮件地址 - 我通过生成代码并将其通过电子邮件发送给用户来做到这一点,然后用户可以使用该代码来激活他的帐户。我没有将此密钥存储在数据库中,而是使用了一个方便的小解决方法:代码是以下结果:
md5("xxxxxxxxx".$username."xxxxxxxxxxx".$timestamp."xxxxxxxxx");
其中$timestamp指的是用户创建时间。总的来说,我对此非常满意,但后来我开始思考,这足够安全吗?那么碰撞的可能性又如何呢?而且我还需要生成用于密码重置等的代码。如果我使用类似的方法,冲突可能会导致一个用户无意中重置另一个用户的密码。那可不行。
那么你如何做这些事情呢?我的想法是以下格式的表格:
codePK (int, a-I), userID (int), type (int), code (varchar 32), date (timestamp)
其中“type”为 1、2 或 3,表示“激活”、“电子邮件更改”或“密码重置”。这是一个好方法吗?你有更好的办法吗?
使用与上述类似的方法,我可以在不使用 cron-jobs 的情况下自动删除超过两天的内容吗?我的主机(nearlyfreespeech.net)不支持它们。如果可能的话,我想避免在外部主机上执行 cron 作业,其中 wget 是一个删除内容的脚本,因为这很混乱 =P。
Thanks!
Mala
Update:
澄清一下:我已经意识到安全地完成此任务的唯一方法是使用数据库,这正是原始函数试图避免的。我的问题是如何构建该表(或多个表?)。有人建议我取消 codePK,只让代码成为 PK。简而言之,我的问题是:这是你所做的吗?