Seguridad de uniqid

salbatore · #1 (**permalink**) 11/12/2016, 23:13

Buenas!,

Estoy programando una red social donde los usuarios pueden publicar cualquier tipo de contenido.

Cuando publican un contenido les asocio un codigo generado con: uniqid().

Luego lo almaceno en la base de datos y siempre que quiero volver a extraer el contenido hago uso de ese código, básicamente para que los usuarios no sepan que ID tiene el contenido.

Mi duda es:

¿Existe algún riesgo por usar uniqid?... se puede duplicar por que 2 usuarios esten metiendo un contenido en el mismo milisegundo?.

La verdad, me parece comodisimo usar uniqid, pero me da un poco de miedo, ya que lo estoy usando en docenas de formularios en la misma web.

:D

Gracias por vuestra ayuda

german_1441 · #2 (**permalink**) 13/12/2016, 11:18

Hola amigo, el manual desaconseja su uso para fines de seguridad, y aunque no es tu caso, también dice que uniquid "no crea valores de tipo string aleatorios ni impredecibles".
Por lo que, a mi parecer, tal vez si se pudiera llegar a repetir.
Otra opción podría ser mt_rand()
Saludos!

salbatore · #3 (**permalink**) 17/12/2016, 19:30

gracias german_1441!

matake · #4 (**permalink**) 18/12/2016, 00:14

Bueno si quieres apretarle mas

puedes intentar con esto:

Código PHP:

Ver original// semilla de microsegundos para mt_rand();
//del manual de PHP
function make_seed()
{
  list($usec, $sec) = explode(' ', microtime());
  return (float) $sec + ((float) $usec * 100000);
}
mt_srand(make_seed());
 
//tambien poner el parametro 2 a true para mas entropia uniqid()
$id = hash('sha512', uniqid(mt_rand(), true));
 
//Tienes asi 4 cosas:
// semilla para mt_rand()
// mt_rand()
// uniqid() con mas entropia
// sha512 como hash

tambien puedes incluir algo del usuario como $_SERVER['REMOTE_ADDR'] , $_SERVER['HTTP_USER_AGENT'] , $_SERVER['REQUEST_TIME_FLOAT']

Hacer hashes sobre ellos y junto con el uniqid de arriba lo pasas por sha512

Saludos

salbatore · #5 (**permalink**) 22/12/2016, 11:33

gracias matake :D