【发布时间】:2009-07-23 23:41:58
【问题描述】:
我正在创建一个自定义 CMS 并构建了一个登录系统,并且正在徘徊以这种方式散列密码与仅使用这样的 md5 php 函数相比有多么脆弱:
<?php $token = md5($salt . $password . $pepper); ?>
大多数人只是加盐,但如果你要加盐,加胡椒才有意义:)
这是我的做法
<?php $token = hash_hmac('sha512', $salt . $password . $pepper, $key); ?>
$key 是数据库中每个用户唯一的值。 $salt 和 $pepper 是随机生成的字符串。 $password 当然是密码。
于 09 年 7 月 24 日添加
感谢您的所有回复。有没有人有他们如何使用哈希脚本创建密码以存储在数据库中的示例?
【问题讨论】:
-
它在第一段中......与仅使用这样的 md5 php 函数相比,以这种方式散列密码有多脆弱: