试图散列我的密码但没有成功

Question

我对 php 安全性相当陌生，对于我的网站，我是注册并登录的，我想添加他们的 md5 密码，但我找不到任何有明确指南的地方添加到注册中，以及需要添加到登录文件和/或数据库中的内容，正如我所说，在网络安全方面我对 php 相当陌生，所以我需要一些帮助，这里是我的注册表单上有什么：

    $error = $user = $pass = "";
if (isset($_SESSION['user'])) destroySession();

if (isset($_POST['user']))
{
    $user = sanitizeString($_POST['user']);
    $pass = sanitizeString($_POST['pass']);


    if ($user == "" || $pass == "")
    {
        $error = "Not all fields were entered<br /><br />";
    }
    else
    {
        $query = "SELECT * FROM members WHERE user='$user'";

        if (mysql_num_rows(queryMysql($query)))
        {
            $error = "Username already taken<br /><br />";
        }
        else
        {
            $query = "INSERT INTO members VALUES('$user', '$pass')";
            queryMysql($query);
            die("<h4>Account created</h4>Please Log in.");
        }

    }
}

我只需要一个示例或一个很好的指南，说明我需要做什么才能使其正常工作。

Answer 1

我认为您正在寻找盐然后对您的密码进行哈希处理。只需将您选择的字符串添加到密码的前面（如果您愿意，也可以添加到末尾），然后使用 MD5 对其进行哈希处理。

例如

$pass = 'mypassword';
$salt = 'S%gh3578';  //anything you want
$pepper = 'w890rrk'; //anything you want
$query = "INSERT INTO members VALUES('$user', md5('".$salt.$pass.$pepper."'))";
queryMysql($query);

这将使用加盐 MD5 加密将密码存储在数据库中，使用未加盐 MD5 加密的常用密码查找表无法反转该密码。

要检查密码是否有效，您可以执行类似的操作：

$passToCheck = 'something';
$correctMD5 = (retrieve hash from db)
if($salt.$passToCheck.$pepper == $correctMD5)
{    
   //valid login
} else {
   //login failure
}

Answer 2

例如，您可以在插入之前使用 md5($pass)，当用户登录时，您可以再次 md5 并检查值是否相同。没有办法 de-md5，因此您通常会根据 md5 DB 值检查 md5 输入。