Как сгенерировать случайное число для кода подтверждения?

Question

[Александр Антонов]

Для подтверждения почты нужно отправлять заранее сгенерированное 6 значное число которое пользователь потом введет в форму на сайте (число не должно начинаться с 100000)

Comments

[Сергей Соколов]

обычно 6-значные коды, это одноразовые пароли, коротко живущие, и вычисляемые из времени.
Их генерят приложения вроде Google Authenticator или Яндекс.Ключ после того, как «договорятся» с вашим сайтом о параметрах.

А для подтверждения почты генерят более длинную случайную строку, которую сохраняют в БД для данного аккаунта. В письме отправляют ссылку с подставленным этим значением – ссылку достаточно кликнуть, не надо ничего вводить в форму.

[Александр Антонов]

Сергей Соколов, подтверждение почты не в плане в учетной записи а при восстановлении пароля например, обычная операция, вводим email, я на бэке проверяю что есть учетка с таким email и создаю сессию в которую кладу это число, ну и время старта для того что бы исключить залипание, на 60 секунд например, генерю число и отсылаю его на почту если с ней все ок, далее просто сверяю то что потом ввел юзер с данными в сессии и тд, не знаю к чему тебе эта инфа но я такую штуку вроде второй раз только делаю так как в основном только фронтом занимаюсь

[ThunderCat]

Александр Антонов,

при восстановлении пароля например... генерю число и отсылаю его на почту если с ней все ок, далее просто сверяю то что потом ввел юзер с данными в сессии и тд,

Это делается не так, по крайней мере не с восстановлением пароля. Больше подходит для 2х факторной авторизации. Для восстановления пароля используется хэш-последовательности, и они вставляются в генерируемый линк и в бд, для сверки, мало ли когда я зайду пароль сбросить, или когда письмо дойдет.

[Александр Антонов]

ThunderCat, ну учитывая что я пока без базы и только пилю бэк (вообще не понятно будет ли там база) то решил использовать то о чем знал и представлял как работает, хотя помню много где используется твой вариант но над ним еще подзапариться надо, спасибо, возьму на заметку этот вариант

[ThunderCat]

Александр Антонов, бэк без базы больше похож на велосипед без седла, можно ехать, но как то не очень удобно, и окружающие смотрят с подозрением...

[Александр Антонов]

ThunderCat, да в курсе, но что поделать (некоторые требования), если смогу их обойти то спокойно накину mysql или лучше posgresssql попробую

[Sanes]

Александр Антонов, где ты его хранить будешь без базы?

[Александр Антонов]

Sanes, в сессии, писал же уже

[ThunderCat]

Александр Антонов,

да в курсе, но что поделать (некоторые требования), если смогу их обойти то спокойно накину mysql или лучше posgresssql попробую

Есть та же sqlite, которая практически ничего не требует, но вполне покрывает большинство задач необходимых базовому сайту. Да и файрбэйс есть с бесплатным лимитом...

[Александр Антонов]

ThunderCat, да я как то даже и не думал по счет облачный решений, я их почему то с nodejs соотношу, нужно попробовать, плюс по счет перебора я решил тогда для безопасности стоит jwt токен генерировать с жизнью минут на 5 максимум, спасибо за толковые ответы

[Александр Антонов]

ThunderCat, mongodb тогда тоже в ту же коллекцию, ее наверно и опробую если можно с php подружить

[Александр Антонов]

ThunderCat, видимо mongo откисает, заблочились гады, попробуем тогда firebase, про sqlite глянул но какой то он не понятный, даже хз чего с ним делать и как ставить

Answer 1

[Александр Антонов]

Вариант 1:

sprintf('%06d', random_int(0, 999999));

Вариант 2:

str_pad(mt_rand(0, 999999), 6, '0', STR_PAD_LEFT);

Comments

[Сергей Соколов]

ну какое же это решение?
Что здесь может бросить Exception?
Если введут $length > 10 и $uniq === true, код подвиснет в бесконечном цикле.

[Александр Антонов]

Сергей Соколов, Exception может бросить random_int судя по phpstorm, по поводу параметра $length, каким боком там будет бесконечный цикл если этот параметр влияет только на for а не while? жду примеров

[Александр Антонов]

ThunderCat, в плане? если есть какие то вопросы, задавай или предлагай, я попробовал и сделал так, если не нравиться то к своей "аутофелляция" можно добавить немного разъяснений, в чем этот код плох и тд

[Александр Антонов]

Сергей Соколов, в while все что я делаю так проверяю прошлое число и все, никаких бесконечных циклов там в приницпе не может быть, если только каким то чудом random_int не начнем генерировать одно и тоже число

[ThunderCat]

Александр Антонов,

в плане? если есть какие то вопросы, задавай или предлагай,

Во первых - зачем вы вообще разместили здесь вопрос, если менее чем через минуту опубликовали ответ? Просто "смотри чё могу!"? Увы, получилось не очень. Поднять рейтинг? Тоже нет, за выставленный самому себе верный ответ баллы не начисляются. Короче, такая себе попытка поднять себе настроение.
Во вторых - решение реально плохо, 2 фора, вайл, куча ифов... для зачем? Еще и с багами... Sanes написал вам решение в 1 оператор.

[Александр Антонов]

ThunderCat, выложил что бы в будущем если появиться повторное желание использовать такой формат взять этот пример и плюс если кому то как и мне будет мало random_int(100000, 999999), на рейтинг мне в принципе побоку как то я тут только в основном вопросы задаю и редко отвечаю, по поводу ответа Sanes я уже разъяснил, такой вариант хоть и покрывает необходимость но я предпочел реализовать тот формат который мне нужен, по поводу самого кода жду вашего решения (000000 -> 999999) с отсеиванием повторяющихся значений раз уж за кучу ифов и циклов зашла речь)

[ThunderCat]

Александр Антонов, куда вы отсеиваете повторяющиеся значения? И зачем? Решение уже закинул в другую ветку, и перестаньте мучать этот "код", он мертвый и пахнет...

[ThunderCat]

Александр Антонов,

выложил что бы в будущем если появиться повторное желание использовать такой формат взять этот пример

В будущем, если вы все таки вырастете в программиста, этот код ничего кроме фейспалма и стыда вам не принесет. А как "решение для кого-то" он скорее вреден.

[Александр Антонов]

ThunderCat, отсеиваю что бы в нем не было подряд повторяющихся чисел, по мне так хороший код для достижения двух целей (то что выше написал плюс sprintf('%06d', random_int(0, 999999)))

[ThunderCat]

Александр Антонов,

отсеиваю что бы в нем не было подряд повторяющихся чисел, по мне так хороший код для достижения двух целей

Так и не понял зачем, никакой дополнительной защиты это не дает, скорее наоборот - исключает из перебора большой ряд чисел, понижая стойкость почти на порядок. В любом случае - как ответ такое помечать точно не надо.

[Александр Антонов]

ThunderCat, тогда жду решение с учетом уже описанных 2 целей, не важно что в этом мало смысла просто есть такая цель, как увижу его удалю свой ответ (или поменяю на твой) а так пока что этот код может и выглядит громоздким но по крайней мере достигает этих двух целей

[Александр Антонов]

ThunderCat, а вот это уже полезный ответ, не знал что уникальные числа понижают стойкость, интересно узнать почему

[ThunderCat]

Александр Антонов,

а вот это уже полезный ответ, не знал что уникальные числа понижают стойкость, интересно узнать почему

У тебя не "уникальные числа", а "неповторяющиеся цифры". Собственно, при переборе можно сразу исключить все числа, в которых есть 2 повторяющиеся цифры. Очевидно, что выбросив из перебора такие числа, подбор займет заметно меньше времени, сколько точно мне лень считать, но навскидку где-то на 1 порядок меньше.

Answer 2

[Sanes]

random_int(100000, 999999)

Comments

[Александр Антонов]

не правильный ответ, этот вариант сгенерирует число от 100000, в случае с кодом подтверждения там должно быть от 000000 до 999999, соответственно в формате строки, в любом случае это остается числом

[ThunderCat]

Александр Антонов, в вопросе указано - 6-значное число, про то, с какого номера оно должно начинаться ничего не было. Формально ответ полностью удовлетворяет вопросу. Вы можете внести поправку в комментарии, но не можете отрицать правильность решения.

[Sanes]

Александр Антонов, думаешь ему недостаточно этого диапазона?

[Александр Антонов]

Sanes, диапазона может и достаточно но вряд ли это нормальное поведение, я решил что код подтверждения должен быть именно такой формы и от этого писал код, твой вариант хорош (и банален так как его можно получить по первому ответу в поиске) если не брать приведенную выше причину

[ThunderCat]

Александр Антонов, ок, фокус в 2 действия:
1) Осознаем что твое решение говнокод,
2) дорабатываем нормальное решение до подходящего, с учетом дополнений: sprintf('%06d', random_int(0, 999999));

[rPman]

Александр Антонов, я так понимаю ты просто не знаешь как из 0 сделать 000000?
например с помощью printf (sprintf если в переменную)
printf("%06d",$x)

[Александр Антонов]

ThunderCat, хороший вариант если не прикапываться к повторяющимся числам, сохраню его, про sprintf не слышал так что можно посмотреть что с ней еще можно придумать

[Александр Антонов]

rPman, не знал) но спустя 3-4 сообщения ThunderCat вроде понял что мне было нужно и почему я вообще задал этот вопрос)

[rPman]

Александр Антонов, проверку на повторяющиеся числа ты сделать должен будешь уже поиском по базе, так как тебе нужно сохранять высланные номера пользователям, чтобы сравнить их со введенными (плюс рекомендуется сохранять их какое то время, с пометкой использованное, чтобы исключить вероятность совпадения если злоумышленник узнал код уже после того как пользователь его использовал)

[ThunderCat]

rPman, у него "другие" повторяющиеся числа (которые на самом деле цифры, но не суть), смысл чтобы не было 2 одинаковых цифры подряд в числе. Зачем - хз, меня не спрашивай ))

[Александр Антонов]

rPman, по какой базе? я в вопросе вообще не писал что использую какую то бд, высланное число я сохраняю в сессии, пока что, а что касается злоумышленников то я все равно потом эту сессию закрою и все, ответ будет 400 на такие запросы

[Sanes]

Александр Антонов, не морочь голову. Ответ задачу решает в полной мере. Для временного кода не надо огород городить.

[Александр Антонов]

ThunderCat, просто захотелось так)