Как сгенерировать случайное число для кода подтверждения?

Question

[Alexander Barison]

Для подтверждения почты нужно отправлять заранее сгенерированное 6 значное число которое пользователь потом введет в форму на сайте (число не должно начинаться с 100000)

Comments

[Сергей Соколов]

обычно 6-значные коды, это одноразовые пароли, коротко живущие, и вычисляемые из времени.
Их генерят приложения вроде Google Authenticator или Яндекс.Ключ после того, как «договорятся» с вашим сайтом о параметрах.

А для подтверждения почты генерят более длинную случайную строку, которую сохраняют в БД для данного аккаунта. В письме отправляют ссылку с подставленным этим значением – ссылку достаточно кликнуть, не надо ничего вводить в форму.

[Alexander Barison]

Сергей Соколов, подтверждение почты не в плане в учетной записи а при восстановлении пароля например, обычная операция, вводим email, я на бэке проверяю что есть учетка с таким email и создаю сессию в которую кладу это число, ну и время старта для того что бы исключить залипание, на 60 секунд например, генерю число и отсылаю его на почту если с ней все ок, далее просто сверяю то что потом ввел юзер с данными в сессии и тд, не знаю к чему тебе эта инфа но я такую штуку вроде второй раз только делаю так как в основном только фронтом занимаюсь

[ThunderCat]

Александр Антонов,

при восстановлении пароля например... генерю число и отсылаю его на почту если с ней все ок, далее просто сверяю то что потом ввел юзер с данными в сессии и тд,

Это делается не так, по крайней мере не с восстановлением пароля. Больше подходит для 2х факторной авторизации. Для восстановления пароля используется хэш-последовательности, и они вставляются в генерируемый линк и в бд, для сверки, мало ли когда я зайду пароль сбросить, или когда письмо дойдет.

[Alexander Barison]

ThunderCat, ну учитывая что я пока без базы и только пилю бэк (вообще не понятно будет ли там база) то решил использовать то о чем знал и представлял как работает, хотя помню много где используется твой вариант но над ним еще подзапариться надо, спасибо, возьму на заметку этот вариант

[ThunderCat]

Александр Антонов, бэк без базы больше похож на велосипед без седла, можно ехать, но как то не очень удобно, и окружающие смотрят с подозрением...

[Alexander Barison]

ThunderCat, да в курсе, но что поделать (некоторые требования), если смогу их обойти то спокойно накину mysql или лучше posgresssql попробую

[Sanes]

Александр Антонов, где ты его хранить будешь без базы?

[Alexander Barison]

Sanes, в сессии, писал же уже

[ThunderCat]

Александр Антонов,

да в курсе, но что поделать (некоторые требования), если смогу их обойти то спокойно накину mysql или лучше posgresssql попробую

Есть та же sqlite, которая практически ничего не требует, но вполне покрывает большинство задач необходимых базовому сайту. Да и файрбэйс есть с бесплатным лимитом...

[Alexander Barison]

ThunderCat, да я как то даже и не думал по счет облачный решений, я их почему то с nodejs соотношу, нужно попробовать, плюс по счет перебора я решил тогда для безопасности стоит jwt токен генерировать с жизнью минут на 5 максимум, спасибо за толковые ответы

[Alexander Barison]

ThunderCat, mongodb тогда тоже в ту же коллекцию, ее наверно и опробую если можно с php подружить

[Alexander Barison]

ThunderCat, видимо mongo откисает, заблочились гады, попробуем тогда firebase, про sqlite глянул но какой то он не понятный, даже хз чего с ним делать и как ставить

Answer 1

[Alexander Barison]

Вариант 1:

sprintf('%06d', random_int(0, 999999));

Вариант 2:

str_pad(mt_rand(0, 999999), 6, '0', STR_PAD_LEFT);

Comments

[Сергей Соколов]

ну какое же это решение?
Что здесь может бросить Exception?
Если введут $length > 10 и $uniq === true, код подвиснет в бесконечном цикле.

[Alexander Barison]

Сергей Соколов, Exception может бросить random_int судя по phpstorm, по поводу параметра $length, каким боком там будет бесконечный цикл если этот параметр влияет только на for а не while? жду примеров

[Alexander Barison]

ThunderCat, в плане? если есть какие то вопросы, задавай или предлагай, я попробовал и сделал так, если не нравиться то к своей "аутофелляция" можно добавить немного разъяснений, в чем этот код плох и тд

[Alexander Barison]

Сергей Соколов, в while все что я делаю так проверяю прошлое число и все, никаких бесконечных циклов там в приницпе не может быть, если только каким то чудом random_int не начнем генерировать одно и тоже число

[ThunderCat]

Александр Антонов,

в плане? если есть какие то вопросы, задавай или предлагай,

Во первых - зачем вы вообще разместили здесь вопрос, если менее чем через минуту опубликовали ответ? Просто "смотри чё могу!"? Увы, получилось не очень. Поднять рейтинг? Тоже нет, за выставленный самому себе верный ответ баллы не начисляются. Короче, такая себе попытка поднять себе настроение.
Во вторых - решение реально плохо, 2 фора, вайл, куча ифов... для зачем? Еще и с багами... Sanes написал вам решение в 1 оператор.

[Alexander Barison]

ThunderCat, выложил что бы в будущем если появиться повторное желание использовать такой формат взять этот пример и плюс если кому то как и мне будет мало random_int(100000, 999999), на рейтинг мне в принципе побоку как то я тут только в основном вопросы задаю и редко отвечаю, по поводу ответа Sanes я уже разъяснил, такой вариант хоть и покрывает необходимость но я предпочел реализовать тот формат который мне нужен, по поводу самого кода жду вашего решения (000000 -> 999999) с отсеиванием повторяющихся значений раз уж за кучу ифов и циклов зашла речь)

[ThunderCat]

Александр Антонов, куда вы отсеиваете повторяющиеся значения? И зачем? Решение уже закинул в другую ветку, и перестаньте мучать этот "код", он мертвый и пахнет...

[ThunderCat]

Александр Антонов,

выложил что бы в будущем если появиться повторное желание использовать такой формат взять этот пример

В будущем, если вы все таки вырастете в программиста, этот код ничего кроме фейспалма и стыда вам не принесет. А как "решение для кого-то" он скорее вреден.

[Alexander Barison]

ThunderCat, отсеиваю что бы в нем не было подряд повторяющихся чисел, по мне так хороший код для достижения двух целей (то что выше написал плюс sprintf('%06d', random_int(0, 999999)))

[ThunderCat]

Александр Антонов,

отсеиваю что бы в нем не было подряд повторяющихся чисел, по мне так хороший код для достижения двух целей

Так и не понял зачем, никакой дополнительной защиты это не дает, скорее наоборот - исключает из перебора большой ряд чисел, понижая стойкость почти на порядок. В любом случае - как ответ такое помечать точно не надо.

[Alexander Barison]

ThunderCat, тогда жду решение с учетом уже описанных 2 целей, не важно что в этом мало смысла просто есть такая цель, как увижу его удалю свой ответ (или поменяю на твой) а так пока что этот код может и выглядит громоздким но по крайней мере достигает этих двух целей

[Alexander Barison]

ThunderCat, а вот это уже полезный ответ, не знал что уникальные числа понижают стойкость, интересно узнать почему

[ThunderCat]

Александр Антонов,

а вот это уже полезный ответ, не знал что уникальные числа понижают стойкость, интересно узнать почему

У тебя не "уникальные числа", а "неповторяющиеся цифры". Собственно, при переборе можно сразу исключить все числа, в которых есть 2 повторяющиеся цифры. Очевидно, что выбросив из перебора такие числа, подбор займет заметно меньше времени, сколько точно мне лень считать, но навскидку где-то на 1 порядок меньше.

Answer 2

[Sanes]

random_int(100000, 999999)

Comments

[Alexander Barison]

не правильный ответ, этот вариант сгенерирует число от 100000, в случае с кодом подтверждения там должно быть от 000000 до 999999, соответственно в формате строки, в любом случае это остается числом

[ThunderCat]

Александр Антонов, в вопросе указано - 6-значное число, про то, с какого номера оно должно начинаться ничего не было. Формально ответ полностью удовлетворяет вопросу. Вы можете внести поправку в комментарии, но не можете отрицать правильность решения.

[Sanes]

Александр Антонов, думаешь ему недостаточно этого диапазона?

[Alexander Barison]

Sanes, диапазона может и достаточно но вряд ли это нормальное поведение, я решил что код подтверждения должен быть именно такой формы и от этого писал код, твой вариант хорош (и банален так как его можно получить по первому ответу в поиске) если не брать приведенную выше причину

[ThunderCat]

Александр Антонов, ок, фокус в 2 действия:
1) Осознаем что твое решение говнокод,
2) дорабатываем нормальное решение до подходящего, с учетом дополнений: sprintf('%06d', random_int(0, 999999));

[rPman]

Александр Антонов, я так понимаю ты просто не знаешь как из 0 сделать 000000?
например с помощью printf (sprintf если в переменную)
printf("%06d",$x)

[Alexander Barison]

ThunderCat, хороший вариант если не прикапываться к повторяющимся числам, сохраню его, про sprintf не слышал так что можно посмотреть что с ней еще можно придумать

[Alexander Barison]

rPman, не знал) но спустя 3-4 сообщения ThunderCat вроде понял что мне было нужно и почему я вообще задал этот вопрос)

[rPman]

Александр Антонов, проверку на повторяющиеся числа ты сделать должен будешь уже поиском по базе, так как тебе нужно сохранять высланные номера пользователям, чтобы сравнить их со введенными (плюс рекомендуется сохранять их какое то время, с пометкой использованное, чтобы исключить вероятность совпадения если злоумышленник узнал код уже после того как пользователь его использовал)

[ThunderCat]

rPman, у него "другие" повторяющиеся числа (которые на самом деле цифры, но не суть), смысл чтобы не было 2 одинаковых цифры подряд в числе. Зачем - хз, меня не спрашивай ))

[Alexander Barison]

rPman, по какой базе? я в вопросе вообще не писал что использую какую то бд, высланное число я сохраняю в сессии, пока что, а что касается злоумышленников то я все равно потом эту сессию закрою и все, ответ будет 400 на такие запросы

[Sanes]

Александр Антонов, не морочь голову. Ответ задачу решает в полной мере. Для временного кода не надо огород городить.

[Alexander Barison]

ThunderCat, просто захотелось так)