[Решено] Каждому элементу вида свой токен - Разработка расширений для Joomla 3.x

Думаю к виду "ЗАКАЗЫ" к каждому id прикрепить какую-нибудь индивидуальную переменную хэш-сумму или случайную генерацию для того чтоб никто просто так не мог обратиться к элементу из FrontEnd.

Чтоб ссылка была для пользователя на оплату без регистрации, я думаю все понимают или на крайний случай меня поправят.

Подскажите направления для реализации. Есть ли чего в J! стандартного для подобных реализаций?

чем обычный md5 не подходит? не думаю что нужно что то сложнее в данном случае.

<?php echo JHtml::_( 'form.token' ); ?> для формы
Проверка: if(!JFactory::getSession()->checkToken()) die('Пока хацкер');

Для простого гет запроса модно например так:
<a href="index.php?param1=1&params2=2&<?php echo JSession::getFormToken(). '=1'; ?>">Ссылка</a>
Проверка: if(!JFactory::getSession()->checkToken('get')) die('Пока хацкер');

<a href="index.php?param1=1&params2=2&<?php echo JSession::getFormToken(). '=1'; ?>">Ссылка</a>

Но это временная ссылка. После истечении сессии она окажется неработоспособной. Если нужна постоянная случайная строка:


http://stackoverflow.com/a/4356295


Там же есть ссылка на безопасный вариант.

http://stackoverflow.com/a/4356295

Думаю то что надо! Цель: оградить от прямого захода типа ?id=2 и сделать ?id=2&key=kdspSaqew0(бла бла бла)
Чтобы ссылка лежала лично у человека на почтовике и он мое ею пользоваться без регистрации, а я мог определить что это именно он, конечно же "ОН". Чтоб не светились всем подряд заказы с именами и суммами.
Думаю тему можно закрыть.

как то это слишком сложно в php есть http://php.net/manual/ru/function.uniqid.php. или как я уже сказал обычно в таких случаях используется что то типа

Думаю то что надо! Цель: оградить от прямого захода типа ?id=2 и сделать ?id=2&key=kdspSaqew0(бла бла бла)
Чтобы ссылка лежала лично у человека на почтовике и он мое ею пользоваться без регистрации, а я мог определить что это именно он, конечно же "ОН". Чтоб не светились всем подряд заказы с именами и суммами.
Думаю тему можно закрыть.

На сайте ничего из того что вам надо не описанно!
Вам в любом случае надо
1. для таблицы где у вас заказы добавлять поле где вы будете писать какой то ключ
2. когда пользователь делает что угодно по заказа, в поле с хешем пишете какой то хеш например md5(time().mt_rand());
3. У пользователя ссылка только ?key=hash
4. при входе в вид делаете выборку из таблицы по хешу! Если запись есть, выводите, если нет то ошибку выдаете!

Добавлять какой то ключ которого нет в базе нет смысла! Ибо

На сайте ничего из того что вам надо не описанно!
Вам в любом случае надо
1. для таблицы где у вас заказы добавлять поле где вы будете писать какой то ключ
2. когда пользователь делает что угодно по заказа, в поле с хешем пишете какой то хеш например md5(time().mt_rand());
3. У пользователя ссылка только ?key=hash
4. при входе в вид делаете выборку из таблицы по хешу! Если запись есть, выводите, если нет то ошибку выдаете!

Добавлять какой то ключ которого нет в базе нет смысла! Ибо

Я это понимаю, спасибо. Конечно же ключ должен лежать в базе а не генериться налету и сверяться. Единственно отдельно поблагодарю за совет убрать id из get запроса - это думаю будет лучше.

убрать id из get запроса - это думаю будет лучше

а почему? ведь order_id=...&order_hash=... надежнее, чем просто order_hash=...

а почему? ведь order_id=...&order_hash=... надежнее, чем просто order_hash=...

Задумался сейчас об этом - ведь надо будет для админке и фронтэнда разные обработки по таблице делать если удрать id - думаю оставлю

как то это слишком сложно в php есть http://php.net/manual/ru/function.uniqid.php. или как я уже сказал обычно в таких случаях используется что то типа

Код

md5($order_id.time());

Такой хэш легко подобрать. Достаточно знать ид заказа и время когда он был совершен. Можно и не знать, просто методом перебора. Кстатии, Joomla когда генерит свой токен для формы использует похожий алгоритм, что там описан так что можно и методом getFormToken() воспользоватся  

хорошо, пусть будет md5($order_id.uniqid('', true))

Ну надо же выбирать оптимальный вариант, а на странице с описанием функции uniqid красным выделено:

Внимание
Эта функция не создает ни случайную ни трудно подбираемую строку. Нельзя использовать эту функцию в целях повышения безопасности. Используйте криптографически безопасные функции/генераторы случайных данных, и криптографически защищенные хэш-функции для создания непредсказуемых безопасных ID.

Если просто случаный ид нужен то можно юзать вполне, для создания безопасного хеша это не вариант...

для создания безопасного хеша это не вариант...

надпись эту я знаю можете показать метод кроме прямого перебора, как вы подберете такой хеш?

Ландо, в конце концов это ваше дело или ваших заказчиков как вы будете хэш генерить. Я лишь предложил более менее безопасный вариант. Я не вижу смысла доказывать то о чем сами разработчики PHP пишут.

В Virtuemart3 номер заказа, приходящий на почту:
/index.php?option=com_virtuemart&view=orders&layout=details&order_number=1SEX08&order_pass=p_ddB3PYiJ
В таблице заказов - поле order_pass .
Создание order_pass : \administrator\components\com_virtuemart\models\orders.php  static public function genStdOrderPass(). Плюс там подключение \administrator\components\com_virtuemart\helpers\vmcrypt.php  (virtuemart encrypt class, with some additional behaviours).
Если интересно, скачайте дистрибутив, посмотрите. Похоже на вышеуказанную ссылку на stackoverflow , только усложнили.