如何加密密码并将其保存在 MySQL 数据库中。

Question

现在我只是按原样保存密码

protected void Save_Click(object sender, EventArgs e)
    {

        string userName = Label13.Text;
        DateTime now = DateTime.Now;
        MySqlConnection connectionString = new MySqlConnection("Server=127.0.0.1;Database=surelyknown;Uid=root");
        connectionString.Open();
        MySqlDataAdapter adapter = new MySqlDataAdapter();
        MySqlCommand command = new MySqlCommand();
adapter.InsertCommand = new MySqlCommand("INSERT INTO tbl_user (FirstName,LastName,Email,U_Password,CompanyName,UserPermission,PhoneNumber,Created,Modified,Active,CreatedBy,tbl_organisation_OrganisationID) VALUES(@FirstName,@LastName,@Email,@U_Password,@CompanyName,@UserPermission,@PhoneNumber,@Created,@Modified,@Active,@CreatedBy,@tbl_organisation_OrganisationID)", connectionString);
    adapter.InsertCommand.Parameters.Add("@FirstName", MySqlDbType.VarChar).Value = FirstName.Text;
            adapter.InsertCommand.Parameters.Add("@LastName", MySqlDbType.VarChar).Value = Surname.Text;
            adapter.InsertCommand.Parameters.Add("@Email", MySqlDbType.VarChar).Value = Email.Text;
            adapter.InsertCommand.Parameters.Add("@U_Password", MySqlDbType.VarChar).Value = Password.Text;
            adapter.InsertCommand.Parameters.Add("@CompanyName", MySqlDbType.VarChar).Value = Convert.ToString(nID);

当用户登录网站时，如何使用加密密码进行身份验证。我想在服务器端本身进行解密。请帮忙

Answer 1

基本上hash + salt你的密码，保存哈希到数据库，不要保存明文密码。

当用户登录你的系统时，用盐对他的相同密码进行哈希处理，将该哈希值与保存到数据库中的哈希值进行比较，如果它们匹配，那么你的用户就通过了身份验证。

Hashing 您的密码隐藏真实密码，防止任何成功尝试破解您的密码。

Salting 使用另一个任意值的密码可以为您节省基于字典的暴力攻击的余地。

See OWASP for Salt + Hashing + High number of iterations technique 这是在 Java 中，但我相信所涵盖的理论可以跨任何语言/实现移植。

Answer 2

首先，您应该salt and hash 您的密码。当您说要在服务器端执行此操作时，您是指在数据库服务器端还是应用程序服务器？