出于安全考虑,应使用安全的function,将密码像hash一样保存在php中。
当密码转换为hash时,它是不可逆转的,因此,如果一个人忘记密码,如何获得密码?
Gmail或其他帐户如何发送您的密码?
正如Sneftel上面所指出的,如果您忘记了密码,Gmail不会发送给您。任何这样做的系统都有严重的安全问题。
正确的处理方法是通过密码重置,假设你有用户的电子邮件地址,你可以给他们发送一个有时间限制的链接,让他们重置密码。(例如,当用户点击来自其电子邮件的链接时,这被视为他们是请求重置密码的合法用户的证据)。这种技术在业界相当普遍。然而,如果你是一个电子邮件提供商(我猜你不是),那么你需要替代的方法来做密码重置,如手机验证。看在上帝的份上,请不要做秘密问题,他们已经知道安全问题了,但一些大公司(苹果)仍在使用它们。
您不应该反转散列,这就是这样存储它们的意义所在。也许可以给用户一个重置密码的选项,但避免发送他们当前的密码。如果必须这样做,那么您将需要以明文形式存储它们,或者使用您所做的一些算法来加密它们。