如何防止数据库中的信息被“脱库”-笔记

最新推荐文章于 2024-06-08 14:01:20 发布
最新推荐文章于 2024-06-08 14:01:20 发布
阅读量3.5k 收藏
点赞数 2
分类专栏: 数据结构与算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41333915/article/details/85883822
版权

我们可通过hash算法对用户密码加密之后再存储,不过最好选用较安全的加密算法,比如SHA(MD5据说已被破解),但仅仅这样加密就行了吗?

用户信息“脱库”后,黑客利用字典攻击:维护一个常用密码的字典表,将字典中每个密码用hash算法计算hash值,如果用户“脱库”后的密文和hash值相等,基本就可以认为密文对对应的密码就是字典中的密码,为什么说是基本认为?因为可能会存在hash冲突

针对字典攻击,我们可以引入一个盐(salt),与用户的密码组合到一起,增加密码难度,对组合后的字符串做hash算法算法加密,将其存储到数据库中,增大破解难度。不过,安全与攻击是一种博弈关系,不存在绝对的安全,所有安全措施都只是增加攻击成本而已。

Jean-coding
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
21.讲哈希算法(上):如何防止数据库的用户信息脱库
tobebetter9527的博客
09-22 278
哈希算法的定义和原理: 将任意长度的二进制值串映射为固定长度的二进制值串。从哈希值不能反向推导出原始数据对输入数据敏感,哪怕改一个bit,得到的哈希值也大不相同;散列冲突的概率要很小;算法执行要高效。
如何有效预防脱库
天行健,君子以自强不息;地势坤,君子以厚德载物。
10-08 686
本篇不从DBA、网络架构层面来讲述数据安全,这部分有很专业的架构和云上产品来解决,本篇重点从开发人员角度讲述如何避免数据安全的漏洞。相信大部分人都看到过这样的新闻,某某论坛泄漏了用户密码,...
数据结构与算法笔记:基础篇 - 哈希算法(上):如何防止数据库当用户信息脱库
最新发布
chenjian723122704的专栏
06-08 713
前面几篇文章讲到 “散列表” “散列函数”,这里又讲到 “哈希算法”,你是不是一头雾水?实际上,不管是 “散列” 还是哈希,这都是文翻译,英文其实都是 “Hash所以,我们常听到有人把 “散列表” 叫做 “哈希表” “哈希表”,把 “哈希算法” 叫做 “Hash 算法” 或者 “散列算法”。那到底什么是哈希算法呢?哈希算法的定义和原来其实都非常简单,基本上一句话就可以概括。将任意长度的二进制值映射为固定长度的二进制值串,这个映射的规则就是哈希算法,而通过原始数据映射之后得到的二进制值串就是哈希值。
防"脱"库解决方案—建防信息泄露的城墙
weixin_33935505的博客
09-04 206
本文讲的是防"脱"库解决方案—建防信息泄露的城墙,近日不断有黑客陆续在互联网上公开提供国内多家知名网站部分用户数据库下载,国内外媒体频繁报道,影响恶劣,引起社会广泛关注。其涉及到游戏类、社区类、交友类等网站用户数据正逐步公开,各报道也针对系列事件向用户提出密码设置策略等安全建议。针对此类大规模数据泄密事件,安恒信息专家团队特别制作相关解决方案,敬请大...
防脱库策略
Wengzhengcun的博客
12-27 511
直接存储客户的密码,存在被脱库后用户在其他App的密码与此密码相同,则同样会被窃取账户资料的风险。解决办法:不直接存储用户的密码,不管是明文的还是加密的密码,代之以用户账户+密码+秘钥生成的token,当用户登录时,输入密码,由后台服务器计算实时的token与数据库里的token是否一致,一致则认证通过,不一致则认证不通过。...
MySQL数据库防止SQL注入、防止脱库
Andrew Liu的博客
02-28 1408
何为SQL注入? 所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。它可以通过在Web表单输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。 如何防止SQL注入? 通过对比来讲解如何防止SQL注入: 非安全方式: # 非安全方式 find_name = inpu...
安全漏洞防御(1)如何防止被拖库
热门推荐
cowbin2012的专栏
05-02 1万+
整个Web网站,从用户浏览器到后端数据库,要经历很多个环节,各个环节都有可能被黑客有机可乘,所以,要对每一个环节都做好防护。 首先,在代码开发时,要多多注意是否可能存在SQL注入、水平权限漏洞、垂直权限漏洞、XSS漏洞等。尽量避免在应用层被攻击。其次就是那些容易被忽略的环节,如数据库、Web服务器和人。 数据库安全防护 IP白名单 只给需要访问数据库的webserver机器授权IP地址...
黑马程序员 hibernate 2016版讲义和笔记(4天全)
10-07
7. 对象状态与事务管理:在Hibernate,对象有四种状态:瞬时态、持久态、脱管态和删除态。理解这些状态以及它们之间的转换对于正确处理数据至关重要。同时,事务管理是数据库操作的关键,了解Hibernate的事务API,...
传智播客2016hibernate框架学习笔记
03-11
2. **安装与配置**:学习笔记可能会介绍如何下载Hibernate库,设置项目环境,包括配置hibernate.cfg.xml文件,以及连接数据库所需的JDBC驱动。 3. **实体类和注解**:在Hibernate,实体类代表数据库的表,...
hibernate笔记
07-16
在Java项目,创建`hibernate_0100_HelloWorld`,设置好Hibernate库及MySQL JDBC驱动,创建数据库和表,编写`hibernate.cfg.xml`配置文件,定义实体类`Student`,并用`Student.hbm.xml`映射文件关联,最后通过测试...
Hibernate学习笔记特别详细
08-30
Hibernate是一个Java库,它允许开发人员在Java对象和关系数据库之间进行映射。ORM框架的目标是消除传统的JDBC代码,通过提供一种抽象层来处理数据库交互。它将Java类与数据库表关联,将对象实例与数据库记录对应,...
hibernate学习笔记mashibing
05-22
配置文件`hibernate.cfg.xml`是Hibernate运行的关键,其包含了数据库连接信息、实体类的映射文件等。例如,ID生成策略是配置的一个重要部分,如`AUTO`策略让Hibernate自动处理主键生成,简化了开发过程。此外,...
厉害了黑科技,动态安全下的防拖库原来可以这么简单!
趣味科技v
10-20 1364
9月28日,国高校数据泄密违法处罚第一案诞生——国家网络与信息安全信息通报心通报:淮南职业技术学院系统存在高危漏洞,系统存储的4353余名学生身份信息已经造成泄露。据悉,该校招生信息管理系统存在越权漏洞、后台登录密码弱口令、重要数据无备份、无加密等多处疏漏,被犯罪分子通过拖库、刷库等不法攻击行为窃取机密数据。 这是国高校第一案,但绝对不会是最后一案。安全分析机构Risk Based
【浅析】拖库&撞库
07-15 2027
https://blog.csdn.net/xCnhYKoHj3eK/article/details/81612982 <div class="rich_media_content" id="js_co...
(转载)你的个人信息是如何被盗走的?MySQL脱库脱库的原理,怎么脱库脱库的步骤,一库三表六字段
moose_killer的博客
02-26 5303
一、什么是脱库脱库」是指,利用网站的漏洞,获取数据库的全部用户信息。 比如某银行数据泄露,泄露的信息包括名字、性别、卡号、身份证号、手机号码 、所在城市、联系地址、工作单位、邮编 、工作电话、住宅电话、卡种、发卡行等等。 我们平时接到的诈骗电话,对方知晓我们所有的个人信息,他们的信息来源可能就是某网站的数据泄露;当然,并不是所有的诈骗电话都是源于数据泄露,比如 我……秦始皇……打钱! 脱库有一个前提,那就是网站存在SQL注入漏洞。 我们举个栗子,你暗恋你们校花很久了,这天,你发现你们学校官网存
网安入门学习必备——现代网安基础术语词典
Y525698136的博客
03-10 323
网安专业术语千千万,看不懂真的会像门外汉(单押了)。今天文章就来为大家罗列一下网安行业常见术语。
[一步步学数据结构与算法 20]-哈希算法(上)
基尔霍夫的猫
08-03 430
带着问题来学习: 1.如何防止数据库的用户信息脱库? 2.你会如何存储用户密码这么重要的数据吗?仅仅 MD5 加密一下存储就够了吗? 3.在实际开发,我们应该如何用哈希算法解决问题? 一、什么是哈希算法? 1.定义 将任意长度的二进制值串映射成固定长度的二进制值串,这个映射的规则就是哈希算法,而通过原始数据映射之后得到的二进制值串就是哈希值。 2.如何设计一个优秀的哈希算法? ①单向哈希: ...
哈希算法(上):如何防止数据库的用户信息脱库
every__day的博客
01-11 1788
本文是学习算法的笔记,《数据结构与算法之美》,极客时间的课程 哈希算法历史悠久,业界著名的哈希算法也很多,比如MD5、SHA等。在我们平时的开发,基本上都是拿现成的直接用。今天不会重点剖析哈希算法的原理,也不会教你如何设计一个哈希算法,而是从实战角度告诉你,在实际开发,我们该如何用哈希算法解决问题。 什么是哈希算法? 我们前面讲到的“散列表”、“散列函数”,这里又讲到“哈希算法”,你是不是有点...
脱库&站库分离渗透&解决MySQL禁止外连
Love&Share
11-22 1万+
文章目录打包数据库文件SQL语句打包数据库MySQLSQL server使用工具打包数据库站库分离渗透站库分离判断方法站库分离利用思路推荐阅读站库分离打包数据库解决MySQL禁止外连蚁剑Navicat tunnel隧道 打包数据库文件 access 数据库:mdb格式直接下载 MySQL数据库:在路径mysql/data/下存放所有数据库,直接将文件夹复制到web目录tar打包下载 mssql数据库:msdbdata.mdf msdblog.ldf 两个文件复制,直接下载 SQL语句打包.
NJU数据库原理与应用 笔记by刘xx学长
09-05
此外,笔记可能还会涉及到ER图(实体-关系图)在数据库设计的应用,以及SQL语言用于数据查询和更新的基础知识。 数据库系统还强调了安全性、完整性、并发控制和恢复机制,这些都是DBMS为了保证数据正确性、一致性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值