我正在升级我的auth类,用crypt替换md5以存储密码。这是我采取的方法:
function crypt_pass($pass, $userID) {
$salt = $userID .'usesomesillystringforsalt'; // min 22 alphanumerics, dynamic
$method = (version_compare('5.3.7',PHP_VERSION,'>=')) ? '2y' : '2a'; // PHP 5.3.7 fixed stuff
if (CRYPT_BLOWFISH == 1) {
$blowfish_salt = '$'. $method .'$07$'. substr($salt, 0, CRYPT_SALT_LENGTH) .'$';
return crypt($pass, $blowfish_salt);
}
return sha1($pass . $salt);
}
使salt对每个用户都是唯一的增加了一个步骤,即对所提供的用户名的id进行数据库查找。。。我觉得这是值得的。我错了吗?还有什么我不考虑的吗?
salting的全部目的是从同一个密码生成不同的加密字符串。如果你每次都用同样的盐,这种情况就不会发生,所以你最好不要用盐。您应该为每个密码创建一个随机的新salt,然后将其与加密的salt字符串一起存储在数据库中。