[kleinstadtmc]

@gtz: danke für den denkanstoß, denke das ich damit nun was nettes zusammen basteln kann...

[Eistee]

Ähm, da ist doch nen Denkfehler drin? Wieso eine komplizierte Logik zum Prüfen des Codes entwerfen, wenn man auch einfach alle gültigen Gutscheincodes (z.b. 1000 Stück) speichern kann? Und wenn einer "verbraucht" wird, gleich löschen. Wenn der Code an sich lang genug ist (erraten schwierig), dann ist das eine saubere und einfache Lösung.

[kleinstadtmc]

@eistee: ja so in der art hab ich mir das auch gedacht... ich wollte ja den code auch nicht prüfen sonder nur generieren und dann mit der datenbank abgleichen - und so wie du sagst die verbrauchten codes dann löschen... schau ma mal

[gtz]

wenn man einfach nur wahllos 16stellige codes generiert, ist die chance, daß einer durch brute force erraten wird, für meinen geschmack ein wenig zu hoch. selbstvaliderende codes, von denen der angreifer die generationsregeln nicht kennt, sind mit wenig mehr aufwand um einiges sicherer.

natürlich müssen die dinger trotzdem mit der datenbank abgeglichen werden.

[Account gelöscht]

Beitrag gelöscht.

[gtz]

[quote="Desert"]

[rob]

Also uniqid() ist nicht wirklich unique... Das basiert auf der aktuellen Zeit in Microsekunden. Zur gleichen zeit wird aulso auch die gleiche ID generiert.
Natürlich ist es nicht so einfach, daß eine ID mehrfach auftritt, aber es wäre immerhin möglich.
Insofern sollte man das hier noch in Kombination mit Zufallszahlen benutzen. Ansonsten ist es auch nicht besonders schwierig, so eine ID zu erraten.
Man kann das wirklich per Brute-Force machen. Kennt man nur den ungefähren Zeitpunkt, wann so eine ID erzeugt wurde, dann hat man die auch ruckzuck raus.
Wo also wirklich Sicherheit gefragt ist, sollte man sowas niemals machen.
Für so'n Gutschein-Krams ist es aber vermutlich auch so ausreichend.

Um sicher zu gehen, kannst Du aber auch mal sowas machen:
$id = md5( uniqid( rand() ) );

Und zur Selbergenerierung von Gutscheinen: Selbst wenn jemand weiß, wie die Nummer generiert werden, nützt das nichts.
md5 ist ein Eingweghasher. Bis man da Kollisionen berechnet hat....
Ich würde einfach so wie oben die IDs generieren und in eine DB schreiben. Später machst Du einen Abgleich, ob die ID in der DB vorhanden ist. Nach einmaliger Benutzung kannst Du die ID dann ja löschen...

[karmacoder]

hach leute brutforcen läst sich alles, ausser man verhindert eine massenhafte falscheingabe.
sobald ein key nicht scheinbar willkürlicher datenmüll ist sondern auf sinnvollen daten basiert könnte ein angreifer den algorithmus erraten udn ohne bruteforce sich selber gültige keys erstellen.

neben dem algoritmus gilt: je mehr unterschiedliche zeichen man einbringt und desto länger der schlüssel wird desto schwerer ist es zu knacken.

wenn möglich auch die gültigkeit des schlüssels einschränken, aber ohnre die daten im schlüssel zu speichnern!!!! zu einem gültigen schlüssel in der db legt man ein ablaufdatum ein, evtl, gibt noch mehr beschränkungen. wichtig ist das man ohne die datenbank einen gültigen schlüssel von einem ungültigen schlüssel nicht unterscheiden kann.