如何在数据库和 Cookie 中存储密码 (PHP/MySQL)

Question

阅读了this article 和其他许多关于如何不在数据库和 cookie 中存储密码的文章，我现在想知道 如何我应该这样做.. .

到目前为止，我想出的是（在阅读了一下之后）获取明文用户密码，用盐填充它直到它填满 512 位（64 字节 => 64 字符，因为页面不是-unicode)，然后做

$pwhash = hash('sha512', $saltedpw);
for ($i=0; $i<1000; $i++)
      $pwhash = hash('sha512', $pwhash);

然后我将 (UserName, HashedPw, Salt) 存储在数据库中，但是我该如何处理 cookie（以识别希望在会话过期后保持 loogend-on 的用户）？

Answer 1

在数据库中只存储密码哈希码，cookie 应该包含会话 id，通常称为SID。在另一个表中存储所有SID（带有userID），仅此而已。 但是不要忘记 PHP 已经内置了非常简单和有用的会话 api，使用它更好:)

Answer 2

您不必将用户的密码存储在 cookie 中。您可以生成存储在数据库和 cookie 中的长随机字符串（类似于 sessionid）。每次会话到期并且用户回来时，您都可以更改该字符串。当用户访问该站点时，您可以根据数据库检查 cookie 值并查看用户是谁。

Answer 3

首先，调用hash 1000 次无济于事，一次就足够了。

要记住 cookie 中的用户登录信息，您有两种选择：

1. 如前所述，您可以生成一个随机令牌并将其与用户信息一起存储在数据库中。当没有会话 cookie 的用户进入站点时，您检查是否有带有令牌的 cookie 并进行数据库查找。如果您找到了具有此类令牌的用户，请将其登录。您可能需要进行一些额外的检查，例如当前 IP 是否与他们首次登录时的 IP 相同。
2. 您可以将用户 ID 存储在 cookie 中，但是您必须使用密钥对数据进行签名，以确保用户不能只是修改它。 HMAC-SHA-1 是一个很好的方法。优点是您不必在数据库中存储任何其他数据。您只需验证签名并查找用户 ID。缺点是您必须确保签名代码是安全的（具有较长密钥的 HMAC-SHA-1 应该这样做）。