[Php] Génération de clefs d'activation

[teach]

Dans le contexte d'un petit site tel que celui de Saitek, les chances que 2 personnes s'inscrivent à la même micro seconde sont assez mince et ce même s’ils sont en contact et ce mettent d'accord pour peser en même temps lol Mais pour répondre a ta question, non je n'utilise pas time() mais plutôt l'alternative que j'ai citée plus haut ;-)

A premiere vue, l'alternative que tu proposes n'est toujours pas plus secure. uniqid() n'est pas si differend sous le capot que time(). Les 8 premiers caractères retournés correspondent simplement à la valeur de time() en hexa et les 5 derniers correspondent à la precision en millisecondes. Comme je l'ai dit plus haut, vu que la date à laquelle le clé à été generé est connu de l'attaquant, pour qu'il puisse regenerer la même clé il ne lui suffit que de connaitre les 5 derniers caractères restant. 5 caractères hexa c'est très facilement bruteforcable (de l'ordre de quelques minutes sur une machine courante).
L'avantage de pouvoir regenerer une clé d'activation inconnu devient vite évident si tu considère les systèmes de reinitialisation de mot de passe.
Dans un souci de completude, la meilleur solution serait d'utilliser uniqid avec son premier paramètre et surtout son second parametre à true pour plus d'entropie