В cms используется автоматическое создание превью изображений.
Для этого в mod_rewrite настроено правило, по которому запрос к несуществующей картинке, например image.100x100.jpg, перенаправляется на скрипт, создающий превью изображения image.jpg размером 100x100.
Для того, чтобы злоумышленник не мог самостоятельно вызвать создание любого превью, в этот скрипт передается так же некий токен, который является md5(имя файла + соль).
Суть проблемы в выборе соли, а именно:
Не хочется просить пользователя придумывать соль при установке cms.
Не хочется автоматически генерировать соль при установке, так как не все пользуются установщиком, таким образом соль у многих будет одинаковая, чего допускать нельзя.
Вообще, не очень хочется где-либо хранить её.
Хочется просто «на лету» брать в качестве соли некие данные, которые уникальны для каждой копии скрипта и неизвестны злоумышленнику.
Например, время последней модификации какого-то файла подошло бы, если бы не подбиралось так легко.
Так же подошло бы просто имя домена, на котором работает скрипт, но оно известно злоумышленнику.
Ну и, очевидно, соль не должна меняться со временем, по крайней мере какое-то достаточно длительное время
UPD: похоже darkslesh указал верный путь — хранить в настройках соль(как просто случайное число)+домен, для которого она создана, и при несовпадении домена в настройках с реальным доменом, перегенерировать соль.
My<cod/>.net
