为了检查用户密码是否与数据库中一致,我们需要写一个函根据用户输入的密码生成一个加了“盐”的散列值。。。一个散列值就是通过MD5或者SHA1安全算法生成的机密字符串。。
需要细细研究的两个关键字:密码散列 、 安全算法
ps: 为什么已经有了php的加密函数。字符串函数还要需要加“盐”呢?
因为的标准算法 SHA1 、MD5已经被彩虹表完全覆盖了,彩虹表就是一段加密字符 对应一个未加密的字符。。所以说攻击者对的到一段加密的密码之后,他只要把这段加密数据和所用彩虹表里面的记录对比一遍,一杯茶的功夫,她就可以猜解出来真实的密码。。
所以大家会在加密了的散列值里面再加上一段随机的字符,这样就给攻击者增加了难度。。。随机字符就是“盐”。。
盐是一个字符串,可以事先生成,也可以随机生成,在对用户输入信息的时候就加入这条字符串,就是用它给数据加料的。。
PHP里不用盐,是这样给密码加密的:
$hash = sha1($password);
下面的代码是加盐的:
$salt = substr (md5(time()),0 ,7); // 把时间戳作为一个随机的盐。。
$hash = $salt . shal($salt . $password);
上面把一个长度为7的时间戳作为盐,放到密码字符的前面。。这意味着,即使两个用户使用相同的密码,散列后的密码也不相同。
为了能重新的到这个随机的散列值,我们需要保存起这个盐备用起来,。。。因此这个盐再次被作为前缀,计算得来的散列值的前缀,以未加密的方式保存最终得到的散列值中。这样,当一个用户登录时,你能从数据库中得到散列后的密码,并从中释放出盐。。,然后使用它重新生成加了盐的散列后的用户和密码。。
—— 整理和摘抄自《pro PHP and Jquery》