$myStr = $_GET['myStr'];
if ($myStr == md5($myStr)) echo "ok\n";
我知道代码中有一个类型,但在我的测试中我找不到满足条件的输入。
【问题讨论】:
标签: php security cryptography md5
不,您找不到 myStr 值,因为它归结为为 MD5 找到(一级)原像。虽然 MD5 已经因为抗碰撞而被破坏,但你应该找不到原像。更多信息here.
我假设您的代码相当于找到y = md5(y)。 y = md5(x) 是一个更一般的假设,在上面链接的维基百科文章中描述,即使对于 MD5,也无法找到这样的 H(x)。
这并不意味着您应该使用 MD5。请使用 SHA-256、SHA-512 或实际上是 SHA-3 函数之一。就算MD5没破那么远,也已经破得不能再用了; “攻击总是会变得更好;它们永远不会变得更糟。”
【讨论】:
让我们从头开始。我将提供一个示例,以便我可以帮助您更好地理解。
在第一行你有$myStr = $_GET['myStr'];
我只是假设你会像这样从你的 url 中获取这个变量:
http://localhost/md5Project.php?myStr=test
这将为您的变量 $myStr 赋予值“test”。
在你的 if 语句中前进:
if ($myStr == md5($myStr)
这永远不会是真的,因为 $myStr 的值是 "test" 和 md5($myStr) 的值是 098f6bcd4621d373cade4e832627b4f6 所以基本上你将 2 个字符串与值 "test" 和 "098f6bcd4621d373cade4e832627b4f6problem" 进行比较,这总是会导致错误。
【讨论】: