我的 iPhone 应用程序通过 php 脚本 user.php 将密码传递到数据库。
变量 $pass 由以下内容填充:
$pass = str_replace("'", "", $_REQUEST['pass']);
如何在将其插入我的数据库之前对其进行加密?我已经阅读了一些关于不同技术的信息,但正在寻找管理它的最佳方法。
谢谢大家。
【问题讨论】:
str_replace 过滤掉所有撇号
标签: php mysql password-protection
最基本的:用 MD5 或 SHA1 散列
$newpass = md5($_REQUEST['pass']);
或
$newpass = sha1($_REQUEST['pass']);
最近我也开始存储散列的用户名,所以登录尝试只使用散列数据进行比较是安全的。
你可以用额外的数据“加盐”散列,所以如果它们被泄露,它的值就找不到了(尝试用谷歌搜索一些简单的散列词)。即使用站点范围的字符串来改变标准散列,如@987654323 @ 或者更高级的东西。
【讨论】:
【讨论】:
使用crypt 和一些盐。比如
$user = strip_tags(substr($_REQUEST['user'],0,32));
$plain_pw = strip_tags(substr($_REQUEST['pass'],0,32));
$password = crypt(md5($plain_pw),md5($user));
如http://www.ibm.com/developerworks/opensource/library/os-php-encrypt/
【讨论】:
虽然下面的答案在技术上仍然是正确的,但 php 对要使用的散列算法有新的建议。 Their recommendation,从 php >= 5.5.0 开始,是使用 password_hash 和 password_verify 函数来散列和验证散列密码。作为一个额外的好处,这些函数会自动包含一个个性化的盐作为返回的哈希的一部分,所以你不需要明确地担心这一点。
$pass = sha1($_REQUEST['pass']);
有一件事,让它更安全一点是向散列添加盐并再次运行散列函数。这使得恶意生成密码哈希变得更加困难,因为盐值仅在服务器端处理。
示例:
$pass = sha1(sha1($_REQUEST['pass']).sha1("mySalt@$#(%"));
【讨论】:
您应该使用 SHA1 对您的密码进行哈希处理以存储在数据库中。这是存储密码的最简单但最有效的方法:
$password = sha1($password);
它也非常安全。尽管它的完整性开始下降,但将此功能升级到 SHA-256(非常安全)相当容易。
【讨论】:
要了解为什么 md5、sha1 和他们的快速朋友可能不是一个好主意,您应该阅读 Thomas Ptacek 的帖子Enough With The Rainbow Tables: What You Need To Know About Secure Password Schemes。要点:
最后,我们了解到,如果我们想 安全地存储密码我们有三个 合理的选择:PHK的MD5方案, Provos-Maziere 的 Bcrypt 方案,以及 建议零售价。我们了解到正确的 选择是 Bcrypt。
注意:它是 PHK,而不是 php。
【讨论】:
首先,您应该创建一个随机用户盐。然后你应该将它和密码哈希存储在数据库中。
$salt = md5(unique_id().mt_rand().microtime());
$pass = sha1($salt.$_REQUEST['pass']);
并将 $salt 和 $pass 保存在数据库中。然后,当他们登录时,您查找他们的行并检查哈希:
$user = query('SELECT * FROM `user` WHERE username = ?', array($_REQUEST['username']));
if($user)
{
// If the password they give maches
if($user->pass === sha1($user->salt. $_REQUEST['pass']))
{
// login
}
else
{
// bad password
}
}
else
{
// user not found
}
为每个帐户创建一个用户盐可以确保彩虹表毫无用处,任何闯入您服务器的人都必须暴力破解每个密码。
【讨论】: