Ответ 1
Начнем с того, что вы не говорите о соли. Вы говорите о Cryptographic Nonce, и когда вы соедините пароль, вы должны использовать Cryptographic Nonce. В случае сброса паролей это должно быть случайное число, которое хранится в базе данных. Не выгодно иметь "соль сайта".
В первую очередь мне не нравится uniqid(), потому что это временный тяжелый расчет и время - очень слабое семя. rand() vs mt_rand(), spoiler: rand() - полная дерьмо.
В веб-приложении хорошим источником безопасных секретов является неблокирующий доступ к энтропийному пулу, например /dev/urandom. Начиная с PHP 5.3, приложения PHP могут использовать openssl_random_pseudo_bytes(), а библиотека Openssl выберет лучший источник энтропии на основе вашей операционной системы, в Linux это означает, что приложение будет использовать /dev/urandom. Этот код snip от Скотта довольно хорош:
function crypto_rand_secure($min, $max) {
$range = $max - $min;
if ($range < 0) return $min; // not so random...
$log = log($range, 2);
$bytes = (int) ($log / 8) + 1; // length in bytes
$bits = (int) $log + 1; // length in bits
$filter = (int) (1 << $bits) - 1; // set all lower bits to 1
do {
$rnd = hexdec(bin2hex(openssl_random_pseudo_bytes($bytes)));
$rnd = $rnd & $filter; // discard irrelevant bits
} while ($rnd >= $range);
return $min + $rnd;
}
function getToken($length=32){
$token = "";
$codeAlphabet = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$codeAlphabet.= "abcdefghijklmnopqrstuvwxyz";
$codeAlphabet.= "0123456789";
for($i=0;$i<$length;$i++){
$token .= $codeAlphabet[crypto_rand_secure(0,strlen($codeAlphabet))];
}
return $token;
}