我只是想听听您对某事的反馈。
基本上我有一个名为 $uniqueID 的值,即 = ID + 名字的第一个字母 + 姓氏的第一个字母 + 字符串“CAN”
然后我将 $uniqueID 转换为盐值,如下所示 $salt = sha1($uniqueID);
然后我使用 md5() 将用户密码转换为哈希值。
然后,我使用正确的数据类型将这两个值单独存储在数据库中。
我只是想知道这是否是一种保护两种类型用户验证的安全方法?密码验证将由用户完成,$uniqueID 将通过脚本完成。
我不会提供提醒您密码的服务,您必须创建一个全新的密码。
我还为会议实施了一些安全措施。
【问题讨论】:
我建议在 $uniqueID 和密码字段上都使用 sha1。
另外,请确保您的密码字段加盐。
此外,值得注意的是,哈希可以从不同的输入中得出相同的值的一种方式。正如 Gumbo 指出的那样,如果您打算使用 $uniqueID 作为唯一 ID,您会遇到问题。 (所以不要;-)
如果您想使用uniqueID 作为会话密钥,那么您至少需要在使用它之前检查是否存在冲突。见Zend.Session、CodeIgniter->session和Kohona::Session
【讨论】:
ID 字段加盐的方式相同...加盐是在输入字符串散列之前添加到输入字符串的附加输入。 (它可以是固定的、生成的或两者兼而有之)。所以你可以使用sha1("myS4lt" . $password . "in3cr4ckEr!") 我只使用一个固定的盐,因为如果你允许用户更改他们的名字并且你用用户首字母加盐密码,你将使密码无效。
$uniqueID 做什么。如果您打算将其用作会话密钥,那么您可能仍想对其进行散列 - 只需仔细检查并确保您没有冲突。我会检查一些成熟的会话引擎;例如 Zend.Session 和 CodeIgniter 以及 Kohona 的会话。我会在我的答案中添加链接。