"$token = LogControl::get_secure_token();" gibt ja einen 32-stelligen Code zurück - Fein! Aus was wird der gebildet? Mir ist aufgefallen, dass der bei 2 verschiedenen Installationen (2.4.x und 2.5.x), nur in verschiedenen Ordnern, gleich ist.
Naja, ich hab mal reingeschaut, die get_secure_token() bildet einen md5-Key mit mt_rand(). mt_rand() ist ein PHP-Zufallsgenerator.
Upps - und der erzeugt zwei zufällig gleiche 32-stellige Codes? <Grübel ON> Ich dachte schon, da die Domain gleich sind, dass er daraus irgendwas zaubert?!?
Moment! Das mit dem Zufallsgenerator ist etwas frühzeitig ausgeblappert worden!!! So macht er das nur wenn die Variable $t_secure_token in get_secure_token() leer ist. Zuerst nimmt er aus dem Ordner /media die secure_token_******* datei und generiert daraus einen Token. Wenn die bei beiden gleich ist, würde dies den gleichen Code erklären!
Na also - geht doch! Aber immer erst mal versuchen. Bleibt die Frage: Wieso sind die "secure_token_xxxxx" gleich?
Vieleicht weil du das Shopsystem kopiert hast??? Dann wäre die secure-Datei schon vorhanden und er würde keine neue erstellen.
... oder anders gefragt: Wie könnte man einen eigenen Token erzeugen, z.B. um einen Crobjob zu sichern?
Toolbox→Timer verwendet auch bloß LogControl::get_secure_token(), nur dass das Token dort noch einmal MD5-gehasht wird.
Das ist im allgemeinen ziemlich egal, ob du da in so einem Anwendungsfall md5, sha512 oder sonstwas drum tüddelst. Ich würde aber inzwischen dazu raten, nicht mehr die direkten Funktionen (md5(), sha1()) zu verwenden, sondern lieber hash(). Ist flexibler was den verwendeten Hash-Algorithmus angeht.