可能是一个非常新手的问题,但是,我一直在阅读并发现在理解密码的创建和存储方面存在一些困难。从我所读到的md5/哈希密码是最好的方式来存储它们在数据库中。但是,首先我该如何创建这些密码呢?
假设我有一个用户为bob的登录页面,密码为bob123-我怎么能1. 将bob的密码输入数据库(散列)2. 如何检索和确认散列密码?
谢谢
编辑2017/11/09:一定要看看O Jones的答案。
首先MD5不是最好的哈希方法,你可以尝试sha256或sha512
也就是说,让我们使用hash('sha256')而不是md5()来表示过程的哈希部分。
当您第一次创建用户名和密码时,您将使用一些盐对原始密码进行散列(在每个密码中添加一些随机的额外字符以使其更长/更强)。
可能看起来像这样来自于create user表单:
$escapedName = mysql_real_escape_string($_POST['name']); # use whatever escaping function your db requires this is very important.
$escapedPW = mysql_real_escape_string($_POST['password']);
# generate a random salt to use for this account
$salt = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
$saltedPW = $escapedPW . $salt;
$hashedPW = hash('sha256', $saltedPW);
$query = "insert into user (name, password, salt) values ('$escapedName', '$hashedPW', '$salt'); ";
那么在登录时,它将看起来像这样:
$escapedName = mysql_real_escape_string($_POST['name']);
$escapedPW = mysql_real_escape_string($_POST['password']);
$saltQuery = "select salt from user where name = '$escapedName';";
$result = mysql_query($saltQuery);
# you'll want some error handling in production code :)
# see http://php.net/manual/en/function.mysql-query.php Example #2 for the general error handling template
$row = mysql_fetch_assoc($result);
$salt = $row['salt'];
$saltedPW = $escapedPW . $salt;
$hashedPW = hash('sha256', $saltedPW);
$query = "select * from user where name = '$escapedName' and password = '$hashedPW'; ";
# if nonzero query return then successful login
您必须根据已设置的密码进行推理:
存储密码为md5('bob123');当bob注册到您的应用程序
$query = "INSERT INTO users (username,password) VALUES('bob','".md5('bob123')."');
那么,当Bob登录时:
$query = "SELECT * FROM users WHERE username = 'bob' AND password = '".md5('bob123')."';
显然使用变量作为用户名和密码,这些查询是PHP生成的然后你可以在mysql上执行
请不要使用MD5进行密码散列。这样的密码可以在几毫秒内被破解。你肯定会被网络罪犯利用的。
PHP提供了一个基于可靠随机盐和多轮Rijndael/AES加密的高质量和未来证明的密码哈希子系统。当用户第一次提供密码时,您可以像这样散列它:
$pass = 'whatever the user typed in';
$hashed_password = password_hash( "secret pass phrase", PASSWORD_DEFAULT );
然后,将$hashed_password存储在MySQL的varchar(255)列中。稍后,当用户想要登录时,您可以从MySQL检索散列密码,并将其与用户提供的登录密码进行比较。
$pass = 'whatever the user typed in';
$hashed_password = 'what you retrieved from MySQL for this user';
if ( password_verify ( $pass , $hashed_password )) {
/* future proof the password */
if ( password_needs_rehash($hashed_password , PASSWORD_DEFAULT)) {
/* recreate the hash */
$rehashed_password = password_hash($pass, PASSWORD_DEFAULT );
/* store the rehashed password in MySQL */
}
/* password verified, let the user in */
}
else {
/* password not verified, tell the intruder to get lost */
}
这种未来防护是如何工作的?PHP的未来版本将适应匹配更快和更容易破解加密。如果有必要重新散列密码以使其更难破解,password_needs_rehash()函数的未来实现将检测到这一点。
插入:
INSERT INTO ... VALUES ('bob', MD5('bobspassword'));
SELECT ... FROM ... WHERE ... AND password=md5('hopefullybobspassword');
是你如何在查询中直接做它。但是,如果您的MySQL启用了查询日志记录,那么密码的明文将被写入该日志。所以…您可能希望在脚本中执行MD5转换,然后将结果散列插入查询中。
PHP有一个叫做md5的方法;-)只是$password = md5($passToEncrypt);
如果你在SQL中搜索,你也可以使用MySQL方法MD5() ....
SELECT * FROM user WHERE Password='. md5($password) .'
或SELECT * FROM user WHERE Password=MD5('。美元密码。)
为什么不使用MySQL内置的密码哈希器:
http://dev.mysql.com/doc/refman/5.1/en/password-hashing.htmlmysql> SELECT PASSWORD('mypass');
+-------------------------------------------+
| PASSWORD('mypass') |
+-------------------------------------------+
| *6C8989366EAF75BB670AD8EA7A7FC1176A95CEF4 |
+-------------------------------------------+
作为比较,你可以这样写:
select id from PassworTable where Userid='<userid>' and Password=PASSWORD('<password>')
,如果它返回一个值,那么用户是正确的
我不擅长PHP,但我认为这是你所做的:
$password = md5($password)
和$password就是$_POST['password']或者其他的
只需通过以下行获取哈希值并将其存储到数据库中:
$encryptedValue = md5("YOUR STRING");
为了进一步提高安全性,您可以使用两个不同的盐字符串进行md5加密,一个在php文件中定义的静态盐,然后为每个密码记录随机生成一个唯一的盐。
下面是如何生成salt, md5字符串和存储:
$unique_salt_string = hash('md5', microtime());
$password = hash('md5', $_POST['password'].'static_salt'.$unique_salt_string);
$query = "INSERT INTO users (username,password,salt) VALUES('bob','".$password."', '".$unique_salt_string."');
现在您有了一个静态salt,它对您的所有密码都有效,它存储在.php文件中。然后,在注册执行时,为该特定密码生成唯一的散列。
结果是:两个拼写完全相同的密码将有两个不同的哈希值。唯一散列与当前id一起存储在数据库中。如果有人窃取了数据库,他们将对每个特定的密码都有唯一的盐。但他们没有的是你的静态盐,这让每个"黑客"都很难做到。
这是在login.php上检查密码有效性的方法,例如:
$user = //username input;
$db_query = mysql_query("SELECT salt FROM users WHERE username='$user'");
while($salt = mysql_fetch_array($db_query)) {
$password = hash('md5',$_POST['userpassword'].'static_salt'.$salt[salt]);
}
这个方法非常强大和安全。如果您想使用sha512加密,只需将其放入哈希函数中,而不是上面代码中的md5。