正是由于使用了base64,所以在把这个令牌通过GET方法发送的时候,出现了问题。
比如:http://test/test.php?a=1+2
你用$_GET["a"]取得是:12,即那个加号没有了。一开始我用urlencode对其进行转换,但是总有那么一两的结果是意料外的。
后来想想base64的字符就限定于:[A-Za-z0-9+/=]这么多,加号出问题,我就把加号换成不出问题的符号,下划线是最好的选择。下面是修改后的代码:
GEncrypt.inc.php
复制代码 代码如下:
<?php
classGEncrypt{
protectedstaticfunctionkeyED($txt,$encrypt_key){
$encrypt_key=md5($encrypt_key);
$ctr=0;
$tmp="";
for($i=0;$i<strlen($txt);$i++){
if($ctr==strlen($encrypt_key))
$ctr=0;
$tmp.=substr($txt,$i,1)^substr($encrypt_key,$ctr,1);
$ctr++;
}
return$tmp;
}
publicstaticfunctionencrypt($txt,$key){
$encrypt_key=md5(((float)date("YmdHis")+rand(10000000000000000,99999999999999999)).rand(100000,999999));
$ctr=0;
$tmp="";
for($i=0;$i<strlen($txt);$i++){
if($ctr==strlen($encrypt_key))
$ctr=0;
$tmp.=substr($encrypt_key,$ctr,1).(substr($txt,$i,1)^substr($encrypt_key,$ctr,1));
$ctr++;
}
return(preg_replace("/+/s","_",base64_encode(self::keyED($tmp,$key))));
}
//base64[A-Za-z0-9+/=]
publicstaticfunctiondecrypt($txt,$key){
if($txt==""){returnfalse;}
//echopreg_replace("/_/s","+",$txt);
$txt=self::keyED(base64_decode(preg_replace("/_/s","+",$txt)),$key);
$tmp="";
for($i=0;$i<strlen($txt);$i++){
$md5=substr($txt,$i,1);
$i++;
$tmp.=(substr($txt,$i,1)^$md5);
}
return$tmp;
}
}
?>
GToken.inc.php
复制代码 代码如下:
<?php
/**
*原理:请求分配token的时候,想办法分配一个唯一的token,base64(time+rand+action)
*如果提交,将这个token记录,说明这个token以经使用,可以跟据它来避免重复提交。
*
*/
classGToken{
/**
*得到当前所有的token
*
*@returnarray
*/
publicstaticfunctiongetTokens(){
$tokens=$_SESSION[GConfig::SSN_KEY_TOKEN];
if(empty($tokens)&&!is_array($tokens)){
$tokens=array();
}
return$tokens;
}
/**
*产生一个新的Token
*
*@paramstring$formName
*@param加密密钥$key
*@returnstring
*/
publicstaticfunctionnewToken($formName,$key=GConfig::ENCRYPT_KEY){
$token=GEncrypt::encrypt($formName.session_id(),$key);
return$token;
}
/**
*删除token,实际是向session的一个数组里加入一个元素,说明这个token以经使用过,以避免数据重复提交。
*
*@paramstring$token
*/
publicstaticfunctiondropToken($token){
$tokens=self::getTokens();
$tokens[]=$token;
GSession::set(GConfig::SESSION_KEY_TOKEN,$tokens);
}
/**
*检查是否为指定的Token
*
*@paramstring$token要检查的token值
*@paramstring$formName
*@paramboolean$fromCheck是否检查来路,如果为true,会判断token中附加的session_id是否和当前session_id一至.
*@paramstring$key加密密钥
*@returnboolean
*/
publicstaticfunctionisToken($token,$formName,$fromCheck=false,$key=GConfig::ENCRYPT_KEY){
if(empty($token))returnfalse;
$tokens=self::getTokens();
if(in_array($token,$tokens))//如果存在,说明是以使用过的token
returnfalse;
$source=GEncrypt::decrypt($token,$key);
if($fromCheck)
return$source==$formName.session_id();
else{
returnstrpos($source,$formName)===0;
}
}
publicstaticfunctiongetTokenKey($token,$key=GConfig::ENCRYPT_KEY){
if($token==null||trim($token)=="")returnfalse;
$source=GEncrypt::decrypt($token,$key);
return$source!=""?str_replace(session_id(),"",$source):false;
}
publicfunctionnewTokenForSmarty($params){
$form=null;
extract($params);
returnself::newToken($form);
}
}
?>