php登錄數(shù)據(jù)庫����,密碼都直接寫在程序里嗎?不怕安全問題?。?/h2>
密碼都通過加密然后存如數(shù)據(jù)庫
目前創(chuàng)新互聯(lián)公司已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)���、域名�����、雅安服務(wù)器托管���、綿陽服務(wù)器托管���、企業(yè)網(wǎng)站設(shè)計、西林網(wǎng)站維護(hù)等服務(wù)����,公司將堅持客戶導(dǎo)向、應(yīng)用為本的策略����,正道將秉承"和諧、參與�、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長����,共同發(fā)展。
也就是說密碼不是明文存儲的�����,登錄的時候?qū)Ρ鹊氖羌用芎蟮膆ash
各位用php將密碼存入數(shù)據(jù)庫,都用什么方法進(jìn)行加密的
php將密碼存入數(shù)據(jù)庫,可以分內(nèi)常見的4種方式:
1、直接md5加密存到到數(shù)據(jù)庫
2����、md5兩次存到數(shù)據(jù)庫
3、對需要加密的字符串和一個常量 進(jìn)行混淆加密
4�����、生成一個隨機(jī)的變量存到數(shù)據(jù)庫中�����,然后對需要加密的字符串和這個隨機(jī)變量加密
?php$str="admin"; //需要加密的字符串$str2="php"; //增加一個常量混淆 $pass1=md5($str);$pass2=md5(md5($str));$pass3=md5($str.$str2);echo $pass1."br".$pass2."br".$pass3;?
輸出:
第四種
$str="admin"; //需要加密的字符串$encrypt=$row['encrypt']; // 生成的 隨機(jī)加密字符串 存到數(shù)據(jù)庫中$pass4=md5($str.$encrypt);// 8db2ec7e9636f124e56f7eb4d7b7cc7e
用php將密碼存入數(shù)據(jù)庫���,用什么方法進(jìn)行加密?
題主你可以使用 md5 或者 sha1 進(jìn)行初步處理����,但為了更加安全�����,請你同時加上兩個 salt����,一個靜態(tài) salt,一個動態(tài)的 salt����。以 md5 為例:\x0d\x0a假設(shè)通過 POST 傳來的密碼為 $_POST['password'],在存入 DB 前先進(jìn)行如下的操作:\x0d\x0a$password = hash('md5', $_POST['password'].$staticSalt.$dynamicSalt);\x0d\x0a\x0d\x0a為了保證動態(tài) salt 的唯一性�,可以這樣操作:\x0d\x0a$dynamicSalt = hash('md5', microtime());\x0d\x0a\x0d\x0a對于動態(tài)的 salt 可以與生成的密碼一起保存在 DB 中,而靜態(tài) salt 則可以直接放在類文件中(例如定義為一個靜態(tài)屬性即可)�����。\x0d\x0a首先謝謝題主采納了我的答案���,但是我之前的回答并不是最佳答案�,之所以有此加密的想法源于自己所讀的源碼可能比較老�����,所以并沒使用上較新版本的加密方法�,例如 bcrypt等。\x0d\x0a此外�����,第二點,感謝評論中幾位前輩的提點�����,已經(jīng)明白設(shè)置靜態(tài) salt 的意義并不大��,生成一個較長的動態(tài) salt 已然可以解決問題����。\x0d\x0a\x0d\x0aLZ應(yīng)該采用加鹽HASH。\x0d\x0a如何“腌制”密碼呢����?\x0d\x0a=_,=\x0d\x0a正確的格式應(yīng)該是,用戶password+動態(tài)的salt\x0d\x0a動態(tài)的salt不能像2L所說的����,使用microtime,因為時間在某些情況下不夠隨機(jī)���,而且是可能被猜解的����。\x0d\x0a這里推薦一個我用的加鹽HASH\x0d\x0a$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));\x0d\x0a$password=sha1($register_password.$salt);\x0d\x0a\x0d\x0a解釋:\x0d\x0a首先使用mcrypt�,產(chǎn)生電腦隨機(jī)生成的,專門用戶加密的隨機(jī)數(shù)函數(shù)�。\x0d\x0a第二步,把得到的隨機(jī)數(shù)通過base64加密���,使其變長并且不利于猜解�����。\x0d\x0a第三步�����,把得出的鹽拼接到密碼的后面����,再對其使用sha1進(jìn)行哈希\x0d\x0a再把password存入到用戶的數(shù)據(jù)庫���。\x0d\x0aPS:為何不用靜態(tài)的salt��?沒有必要����,使用一個動態(tài)隨機(jī)足夠長的鹽足矣��。\x0d\x0a為何不用MD5?因為長度不夠����。\x0d\x0a為何沒有使用多次HASH?因為這樣反而容易發(fā)生碰撞��。\x0d\x0aHASH好之后怎么使用“腌制”好的密碼�?\x0d\x0a用戶注冊-提交密碼-產(chǎn)生salt-腌制好的密碼存入數(shù)據(jù)庫-salt存入數(shù)據(jù)庫。\x0d\x0a用戶登錄-提交密碼-調(diào)用salt接到提交密碼的后面-進(jìn)行HASH-調(diào)用之前注冊腌制好的密碼-對比HASH值是否和這個密碼相同
名稱欄目:php程序數(shù)據(jù)庫密碼放在 php數(shù)據(jù)庫默認(rèn)密碼
URL鏈接:
http://weahome.cn/article/ddipsop.html
重慶分公司
重慶分公司
