避免明文保存用户密码

最新推荐文章于 2021-03-18 03:21:43 发布
最新推荐文章于 2021-03-18 03:21:43 发布
阅读量281 收藏
点赞数
文章标签: php 后端 前端 ViewUI
原文链接:http://www.cnblogs.com/bear-lab/p/4032087.html
版权

最近在学习php,对于安全的一点点小心得。

用php做一个注册/登陆页面时,要记得用对密码进行加密(AES或者RSA)。

Mysql提供了方便使用的AES_ENCRYPT('$password', '$password')函数,可以保证我们在存储密码时至少不是明文状态。这个函数的第一个参数是,要保存的内容而第二个参数则是密钥。一般我们也用要加密的内容作为密钥,这样至少可以保证不会因为密钥泄露而导致用户的密码遭到破解。

同时要注意使用AES加密内容时,内容所在字段类型为二进制的原始内容比如varbinary,同时给予足够的字段长度,因为加密后的内容势必要比原内容冗余。

除此之外,在页面中用户能接受用户输入的地方使用mysql_real_escape_string($_POST['username'])函数进行转义,来防止sql注入。

最后,我觉得前端也有必要使用js进行一定的加密然后将数据传输至后端进行验证,毕竟在如今智能路由和公共免费WiFi越来越多的情况下,在传输层进行抓取应该还是很容易办到的。

转载于:https://www.cnblogs.com/bear-lab/p/4032087.html

weixin_30876945
关注
查看windows远程桌面保存密码
07-15
首先,我们需要了解Windows系统通常不会直接显示或提供已保存密码明文,这是出于安全考虑。但有一些第三方工具可以帮助我们查看这些信息。其中,"netpass-x64查看远程桌面"可能就是这样一个工具,它能够解析...
什么叫明文,什么叫密文,为什么不允许在数据库里明文保存密码
热门推荐
负熵电光丸
09-12 2万+
不知道为什么这个转载来本来只是想收藏自己看的博客能有好几千访问量,排版还极差,内容也对搜标题来查找答案的新手不太友好,所以我觉得要重写一下该博客,减去用不上的内容,换成一些容易理解概念的例子。 1)密码是什么? 密码在中文里是“口令”(password)的通称。 密码是一种用来混淆的技术,密码的设计初衷是为了验证用户身份是否是可信任的(也就是说有了密码别人光知道我用户名是不能登录我...
mysql密码要md5,为什么密码要以MD5值存储在数据库
weixin_42337065的博客
03-18 620
1,为什么数据库中保存的是密码的MD5值,而不是明文?首先我们确认的一点是:MD5肯定比明文要安全一些(当然肯定不是最安全的)如果数据库存储的是明文,如果数据库被黑了,那么明文密码泄露之后,普通用户都可以很容易登录.但是如果存储的是MD5值,就算泄露了,普通用户也没法登录.因为页面上登录时要求输入明文.当然程序员可以直接调用登录接口,传递密码MD5值也可以登录.另外一点:明文包含更多的信息(相对于...
Jenkins pipeline 隐藏密码
小单的博客专栏
08-30 5011
在Jenkinsfile中使用pipeline编写脚本执行命令时候,很多时候我们的命令中需要携带密码,所以我们需要将密码隐藏避免输出到控制台日志中,先看一下隐藏密码后的效果: Masking supported pattern matches of $SONAR_USERNAME or $SONAR_PASSWORD [Pipeline] { [Pipeline] sh + /var/maven_...
php拒绝使用明文mysql密码_mysqldump密码问题
weixin_30780097的博客
01-28 330
在 web 服务器上使用 mysqldump 备份 MySQL 服务器的数据如果这样:mysqldump -hxxx.xxx.xx.xx -uusername -ppwd db table --where="order_id > 4300284 and order_id < 4300293" > /xxxx/file.sql明文输入密码,会提示:Warning: A partia...
Jenkins常用插件分享(role权限管理、密码掩盖)
Zoey~~
09-17 1248
文章目录role权限管理,对不同的角色可授予不同权限,显示不同项目。密码等私密信息过滤显示 role权限管理,对不同的角色可授予不同权限,显示不同项目。 需要安装插件:Role-based Authorization Strategy插件 系统管理-管理插件-可选插件中安装Role-based Authorization Strategy 安装后重启jenkins使其生效 在全局安全配置中可看到授...
jenkins避免在控制台输出密码
Dean Chen的专栏
11-18 9714
有时候在console环境里面需要执行一些代码密码的命令行,jenkins会在console log中如实打印,太不好了。mask password插件可以帮助解决这个问题。https://wiki.jenkins-ci.org/display/JENKINS/Mask+Passwords+Plugin安装后,在项目工程中勾选mask password,然后所有password参数都会被自动加密。
putty支持保存用户名和密码
04-18
这些工具可以让用户保存密码,并在连接时自动输入,但同样存在安全风险,因为密码明文存储。 6. **安全考虑**:尽管保存用户名和密码能带来便利,但它也增加了安全性风险。如果电脑被恶意软件感染或被盗,保存的...
解密navicat保存MYSQL密码
03-25
6. 解密后的密码将以明文形式显示,你可以用这个密码重新登录MySQL。 至于压缩包文件“56395e4941f5400e90239a7f3c990adc”,这可能包含了用于解密Navicat密码的工具或相关指南。你需要解压文件并按照里面的说明...
win10或win7查看浏览器保存密码.zip
11-09
总结,查看和管理浏览器中的保存密码是保护个人隐私和账户安全的重要环节。了解这些方法后,用户可以根据自己的需求进行相应的操作,确保信息安全。同时,保持良好的网络习惯,定期更新软件,使用强大的密码策略,...
WinScp密码解密工具.rar
02-02
综上所述,"WinScp密码解密工具.rar"提供了一种方法来查看和管理WinSCP保存的加密密码,这对于忘记密码或需要临时查看明文密码用户来说非常有用。然而,使用此类工具时务必谨慎,遵循最佳安全实践,防止密码泄露。
Jenkins pipeline 避免使用明文密码的方法
云原生,DevOps,Kubernetes
11-08 1万+
在Jenkins pipeline中,有时需要带用户密码执行命令,如docker login,将用户密码明文方式放到pipeline中显然是不安全的。这时可以通过credential插件实现。下面介绍具体方法: 第一步 安装Jenkins插件 在Jenkins中安装 ‘Credentials Plugin’插件。 第二步 配置用户密码 “Jenkins” -&amp;amp;gt; “Credential...
shell中expect隐藏明文密码
最新发布
10-23
在Shell脚本中,`expect`是一个强大的工具,常用于自动化命令行交互。当需要输入密码时,`expect`可以模拟用户的键盘输入,避免明文密码直接暴露在脚本日志或终端历史记录中,提供了一定程度的安全保护。 当你使用`expect`处理包含密码提示的情况时,通常会这样做: 1. 首先,你需要创建一个`expect`脚本来控制流程。这个脚本会启动一个新的shell进程,并监听来自该进程的标准输入(stdin)。 ```bash #!/usr/bin/expect -f spawn your_command_with_password_prompt expect "Password:" send "your_secret_password\r" # '\r' 表示回车键 interact ``` 2. `spawn your_command_with_password_prompt` 这一行启动了目标命令,比如SSH登录、数据库连接等,`expect`会在接收到“Password:”这样的提示时进入等待状态。 3. `send "your_secret_password\r"` 将密码发送到命令的输入流,`\r` 模拟按下回车键。 4. `interact` 行允许用户输入进一步的内容,如果没有其他交互,则在密码输入之后结束脚本。 5. 确保将上述内容保存为`.exp`文件,然后赋予它执行权限(例如 `chmod +x script.exp`),以便运行它。 通过这种方式,密码在实际操作中是以暗码形式传递给期望脚本处理的,提高了安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值