Использование srand(time())
для генерации токена для пароля reset (или для токена CSRF) плохо, потому что токен может быть предсказуемым.
Я прочитал:
Но я не понимаю, как токен может быть предсказуемым. Я понимаю, что если через секунду я reset мой пароль много раз получаю тот же токен. У меня есть следующий код:
<?php
srand(time());
$reset_password_token = rand(444444444444,999999999999);
?>
Если я reset мой пароль много раз за одну секунду, я знаю, что получаю тот же токен, но как злоумышленник может воспользоваться этим?