php对用户密码进行加密技巧实例

于 2024-06-22 13:42:15 发布
阅读量24 收藏
点赞数
文章标签: php 开发语言
原文链接:https://segmentfault.com/a/1190000012431159
版权

这篇文章主要为大家介绍了php对用户密码进行加密技巧实例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

摘要
密码验证是很常见的需求,如何在实现功能之余,防止用户密码泄露,已经有了很成熟的方案。这篇文章把自己的思考和结论做一下记录。

对用户密码进行加密时需要做到:

防止用户密码明文被窃听
1.交给https,明文传输。

2.客户端将密码加盐(盐随机生成、具有强度)并哈希。服务端再次加盐哈希并对比。假设https被窃听,攻击者破解密码明文也具有相当难度。

防止数据库被攻破时,用户密码明文被窃取。
1.增加哈希算法强度。

2.随机生成具有强度的盐。

一些思考
哈希算法是不可逆的。攻击者可以生成海量的密码 -> 哈希值键值对,反向映射,有概率通过哈希值得到密码。
故,破解的成本=哈希算法强度×盐值数量。

如何选择哈希算法强度
计算耗时用户可接受(视应用场景,如0.2S内)。
计算耗时尽量长,即增加哈希算法强度。

为什么盐要随机
如果盐不随机,攻击者可以针对单个盐生成哈希值->密码键值对,再对整个数据库的哈希值做匹配。
假设盐是保密的,盐可能因为各种原因被攻击者获取(代码泄漏、社会工程学等等)。
攻击者也可以通过在数据库被攻破的网站上注册用户,通过 哈希值->攻击者密码+盐 来破解盐。

为什么盐要有强度
如果盐的强度(长度)不够。攻击者可以建立多个 哈希值->密码 数据库,简单盐被匹配(攻破)的概率更高。

为什么盐可以明文存储
攻击者很难有足够的计算资源和存储空间建立海量的 哈希值->密码 数据库,针对单条用户记录,建立 哈希值->密码 数据库进行攻击的成本过高。

php的实现

最初的想法
需求是房间密码,出于简单考虑,我最初的想法是,MD5+随机盐。
在数据库里大致是这样:

+-------+-------------+------+-----+---------+-------+
| Field | Type        | Null | Key | Default | Extra |
+-------+-------------+------+-----+---------+-------+
| uid  | int(11)    | NO  | PRI | NULL    |      |
| pwd  | varchar(45) | YES  |    | NULL    |      |
| salt  | varchar(45) | YES  |    | NULL    |      |
+-------+-------------+------+-----+---------+-------+

php的推荐实现
php的md5文档

http://php.net/manual/zh/func...

给了一个很好的指引:

PHP: FAQ - Manual....

password_hash 和 crypt 函数返回值的组成部分,依次为:所选择的算法,算法选项,所使用的“盐”,以及散列后的密码。
更改后、数据库表变为:

+-------+-------------+------+-----+---------+-------+
| Field | Type        | Null | Key | Default | Extra |
+-------+-------------+------+-----+---------+-------+
| uid  | int(11)    | NO  | PRI | NULL    |      |
| pwd  | varchar(255) | YES  |    | NULL    |      |
+-------+-------------+------+-----+---------+-------+

相较之前的方案:
1.记录了采用的算法(可以在不改动代码的情况下升级算法)
2.记录了采用算法的cost(强度),可以在硬件计算能力上升的情况下,调整cost来维持安全性。
3.盐和哈希值一并返回,简化了接口调用、数据库存储。
php的验证接口设计得相当漂亮。
使用简单,强制调用者使用随机的salt(不容易误用),可在不修改代码的情况下拓展算法强度。
代码:

if (!empty($xxxx_info['pwd'])) {    // 若原来有密码,则要检测
    if (!password_verify($old_pwd, $xxxx_info['pwd'])) {
        // 用户名或密码错
        return;
    }
}
// 对密码长度、内容等不做限制。
// 以应用场景来说,123456之类也无所谓。
$pwd_in_db = password_hash($new_pwd, PASSWORD_DEFAULT, array("cost" => 6));

参考

PHP: 密码散列 - Manual

PHP更安全的密码加密机制Bcrypt详解_php技巧_脚本之家

以上就是php对用户密码进行加密技巧实例的详细内容,更多关于php用户密码加密的资料请关注vb.net教程C#教程python教程SQL教程access 2010教程xin3721自学网

Oona_01
关注
php分享页面源码,PHP为任意页面设访问密码代码PHP分享加密网页隐私页面源码
weixin_39967598的博客
03-10 1276
# PHP为任意页面设访问密码代码PHP分享加密网页隐私页面源码![](https://img.kancloud.cn/09/01/0901a9dd468a8f95cb01d2c208ecc212_1080x801.webp)使用方法,把下面的代码放在你需要加密的页进行调用```require_once('MkEncrypt.php');MkEncrypt('123456');?>`````...
输入密码才可以浏览网页的PHP源码
01-29
把代码放到head即可使用,输入一次密码会自动记住密码。打开网页的时候会出现输入密码的界面,输入正确后才可以进入到index页面或者其他页面;
php设置密码,PHP为页面设置访问密码
weixin_26712075的博客
03-10 304
PHP为页面设置访问密码加密访问,不分程序,只要支持PHP就可以使用这段代码。代码如下
如何给php网页加个密码访问,为你的网站添加php输入密码访问网站功能
weixin_42528222的博客
03-10 784
$password = "1234"; // 这里是密码$p = "";if(isset($_COOKIE["isview"]) and $_COOKIE["isview"] == $password){$isview = true;}else{if(isset($_POST["pwd"])){if($_POST["pwd"] == $password){setcookie("isview",$_...
利用PHP实现页面访问需要密码验证代码
Microa-securit Network Co Ltd.
03-24 3319
为什么要给页面加上密码访问?可能有些页面涉及到个人的隐私,或者页面测试,不想让别人看到,那么就需要用到密码验证。不管什么程序,只要是PHP程序都是支持这段代码来实现加密访问你需要加密页面,非PHP程序需自行测试!输入正确密码以后会存下cookies值,下一次登录的时候则不需要再次输入了;如果不想给人看了,更改密码以后cookies就会立即失效,必须要输入密码以后才能看。
PHP实现的AES 128位加密算法示例
10-16
PHP实现的AES 128位加密算法示例 ...最后,实例中的代码展示了如何使用PKCS5填充方法对数据进行处理,以确保加密操作的正确性和安全性。这些知识点对于从事PHP开发并需要进行数据安全处理的开发者来说非常有价值。
PHP实例开发源码—MD5在线加密工具 php版.zip
11-11
3. 安全考虑:在实际应用中,需要注意防止SQL注入等安全问题,对用户输入进行适当的过滤和转义。 4. 响应格式:为了适应在线工具的需求,可能还需要将结果以JSON或其他格式返回,便于前端展示或进一步处理。 总结...
PHP7.1实现的AES与RSA加密操作示例
10-18
示例中使用了AES-256-CBC模式进行加密,其中"CBC"表示加密模式为密码块链接模式。首先,需要生成密钥和初始化向量(IV)。示例中的密钥和IV是通过openssl_random_pseudo_bytes函数生成的随机数据并进行base64编码...
PHP实例开发源码-php 远程修改SERV-U帐号密码.zip
10-15
总之,"PHP实例开发源码-php 远程修改SERV-U帐号密码.zip"提供了一个实用的案例,展示了如何使用PHP进行远程系统管理。掌握这个实例将有助于提高你的PHP编程技巧,特别是在网络通信和服务器管理方面。在深入研究代码...
PHP实现的加密解密处理类
10-22
本类提供了一套简单而有效的加密和解密机制,通过实例和类的定义来向用户展示如何在PHP中使用这些方法。 类的定义从“SysCrypt”开始,包含一个私有变量$crypt_key,用于存储加密密钥。构造函数允许在创建类的实例...
php网页怎么通过密码访问,怎么给一个PHP密码访问页面加超链接
weixin_36344231的博客
04-13 72
该楼层疑似违规已被系统折叠隐藏此楼查看此楼$password = "1234"; // 这里是密码$p = "";if(isset($_COOKIE["isview"]) and $_COOKIE["isview"] == $password){$isview = true;}else{if(isset($_POST["pwd"])){if($_POST["pwd"] == $password)...
网页设置访问密码PHP代码
牛角源码-专业的源码分享平台
05-30 618
一段网页设置访问密码PHP代码,用户输入才能访问,可以用于简单的个人加密页面,或者防止攻击,
JS输入密码才显示内容
1002710030
12-29 1386
<?php header('Content-type:text/html;charset=utf-8'); $password = "1234"; // 这里是正确密码 $p = ""; if(isset($_COOKIE["isview"]) && $_COOKIE["isview"] == $password){ $isview = true; }el...
php hincrby,如何利用PHP访问带有密码的Redis
weixin_32143245的博客
03-10 108
如何利用PHP访问带有密码的Redis导语:如何利用PHP访问带有密码的Redis方法,下面小编给大家提供了代码实现步骤,大家可以参考阅读,更多详情请关注应届毕业生考试网。一、首先设置Redis密码,以提供远程登陆打开redis.conf配置文件,找到requirepass,然后修改如下:requirepass yourpasswordyourpassword就是redis验证密码,设置密码以后发...
PHP如何实现给页面设置独立访问密码
最新发布
菜鸟教程
04-20 1131
教程下载地址: 网赚博客http://www.piaodoo.com/创业项目排行榜前十名http://www.piaodoo.com/
php加密方式汇总
smallmww的博客
10-15 873
RSA 是一种非对称加密算法,可以使用 PHP 中的 openssl_public_encrypt() 和 openssl_private_decrypt() 函数来进行加密和解密。客户端和服务端使用同样的签名算法,来计算签名,当客户端提交的签名,和服务端提供的签名一致的时候,就签名成功。3.base64_encode() 对应的解密base_decode()用户客户端使用公钥加密数据,后台支付系统使用私钥解密数据。1.md5()一般用于密码的不可逆加密。一、单列散列函数加密
如何给php网页加个密码访问,PHP页面输入密码才能访问加密代码
weixin_33841498的博客
03-10 2847
在用版本(2018年8月27日) PHP页面输入密码(PHP实现动态口令)后才能访问在原有 美化版 基础上增加了$pass_key = "abcd";$pass_time = date("YmdHi",time());$key = "".substr(md5($pass_key.$pass_time),5,7)."";授权码设置为 $key 即可,详细说明请参考(PHP实现动态口令) 为静态HT...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值