php用户名密码加密,关于php:用户名,密码,Salting,加密,哈希 – 它们如何运作?...

最新推荐文章于 2023-03-20 13:01:55 发布
最新推荐文章于 2023-03-20 13:01:55 发布
阅读量195 收藏
点赞数
文章标签: php用户名密码加密

本问题已经有最佳答案,请猛点这里访问。

Possible Duplicate:

Secure hash and salt for PHP passwords

我在StackOverflow和其他网站上读了很多关于网络安全的文章。比如盐渍加密等,我不太明白,所以简单的解释会很有帮助。

这就是我目前所知道的。用户登录时输入用户名和密码。然后输入经过一个过程。假设用户名和密码组合如下:

$username = (USERS USERNAME INPUT);

$password = (USERS PASSWORD INPUT);

$userinput = $username . $password;

然后我们加些盐。

$salt1 ="13$13aVc!kd";

$salt2 ="4kr$!vlmeoc";

$salted = $salt1 . $userinput . $salt2;

然后我们加密它。

$encrypted = encrypt($salted);

然后检查数据库,看看它的正确用户是否登录。

这就是它的工作原理,对吗?但我读过关于暴力攻击的文章。它猜对了输入值?按照上面的步骤。这是否表明攻击者只需要获得正确的$userinput信息就可以进入?他不需要猜长的$加密字符串对吗?

注意:假设在这种情况下,没有验证码,没有尝试次数限制,没有锁定,只有上面的一个。

注意:温柔点,我还在学习。

这就是为什么建议用户使用强密码而不是"12345",但在您的场景中可能使用暴力。

所以盐和加密是没用的?

有点像,但是如果被劫持的日期介于两者之间,那么劫持者就没有用了,因为它将是加密字符串,并且在没有salt值之前无法逆转。

salt和加密并不是无用的-它们在数据库被破坏时保护用户密码…无障碍的蛮力基本上可以打开任何东西…及时;)

写了一个关于安全密码存储的教程,也许可以帮助您。

如果你排除了Captchas,试试限制,封锁等等…然后是的。你只需要强制使用纯文本字符串。

但是,这确实需要时间——至少,它受服务器响应登录请求的速率的限制。即使开发人员没有添加任何防止暴力强制的措施,服务器本身也只能如此快速地通过加密+验证过程,并且只能处理如此多的并行请求。

也就是说,这就是为什么

作为一个用户,使用一个强大的,难以暴力的密码

作为一个开发人员,有足够的措施来防止您的登录过程的暴力强迫。

散列和加盐密码并不是为了保护那些蛮横地强制自然登录过程的人(还有其他事情可以保护他们)。相反,它们是为了防止密码存储本身的潜在危害(例如,有人转储数据库的内容)。

哈希和salting都有助于降低访问存储密码的人检索纯文本字符串的速度,他们需要能够通过自然登录过程(您的站点或其他站点,考虑到站点之间通常共享密码),而不会触发反暴力强制安全措施。

@用户1429811如果你想要更多的阅读,我有一个关于这个主题的完整的博客文章-codingkilledthecat.wordpress.com/2012/09/04/…

哈希和salting的思想更多的是防止在数据库本身受到破坏时有人获取用户密码。如果密码存储为salt和hash字符串,则攻击者不能仅使用它们访问另一个站点上的用户帐户。

密码加密是单向加密(或者更确切地说,它应该在安全站点中)。也就是说,你拿了密码,然后把它做成一个哈希表。例如,Bcrypt是目前可以接受的标准。

如果它的单向加密,很多人都想知道它如何检查密码。但您只需散列用户提交的密码,并将其与存储在数据库中的散列进行比较。这样,如果数据库被偷,攻击者就必须更加努力地工作。

仅仅散列一个密码的问题很容易是野蛮的强制或彩虹表。你可以通过谷歌彩虹表了解更多信息。但从本质上讲,这是将这些散列值转换回密码的一种方法。

进入盐渍。salting本质上是在每个密码中添加随机数据。这胜过彩虹桌。意味着受损的数据库将意味着暴力。如果你使用类似bcrypt的散列系统,那么对被攻击的人来说需要花费大量的时间和精力。

说了这么多。最好不要重新发明轮子。如果可以,只需使用已知良好的授权系统。

暴力攻击的一个问题是,当您使用像sha1或md5这样的快速加密时。这些函数的构建是为了通过一个算法快速地运行密码。相反,您可以使用Blowfish方法,我不擅长这种方法,但长话短说,它需要比sha1或md5更多的返回值计算。这意味着可能需要5年的时间来强行输入密码,因为计算时间长,密码会与河豚一起散列。

下一个例子是用sha1和md5制作的,因此它很容易受到野蛮攻击,但是salt部分应该可以使用:

$salt=md5(microtime().uniqueid());

这将输出一个唯一的32个字符的salt,并将其与密码放在一起。

$passwod = $_POST['password'];

$hashed_password = sha1($password.$salt);

现在您必须将密码和salt都存储在数据库中。当你检查用户输入的密码时,你会得到盐,然后把它散列出来。

$temp_pass = $_POST['temp_pass'];

$salt=//from database;

$database_pass = //hashed pass from database;

$hashed_temp_pass = sha1($temp_pass.$salt);

if(hashed_temp_pass == $database_pass){

//Welcome user!

}

else{

//go away

}

在这里看到我的答案

当您创建散列时,应该为每个条目生成唯一的盐。

唐文成
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP验证登录用户名密码
最最最最最可爱的桐桐
04-05 1万+
** 简单版 ** 1数据库连接 mysql_connect("127.0.0.1","root","root")or die("数据库链接错误".mysql_error()); //连接数据库,(服务器地址,用户名密码) mysql_select_db("kk") or die("数据库访问错误".mysql_error()); //选择数据库 mysql_query("set name...
Securing PHP Web Applications.pdf
08-18
Create the Encryption and Salting Functions 126 Modify the Password Validation System 127 Wrapping It Up 128 Chapter 9 Session Security 129 What Is a Session Variable? 129 Major Types of Session ...
php salt 加密,php 如何为一个密码实现sha 512,md5和salt加密
weixin_29054245的博客
03-10 382
编辑:由于这个答案似乎仍然引起了一些兴趣,让我引导你们走向password_hash(),这本质上是一个关于crypt()的包装,但更简单易用.如果您使用的是PHP< 5.5,那么password_compat是由同一个人编写的,实际上是与官方文档相关联的.如果您已经在使用crypt(),那么值得注意的是password_verify()和password_needs_rehash()都可以...
PHP中文名加密
weixin_30549657的博客
06-12 296
<?php function encryptName($name) { $encrypt_name = ''; //判断是否包含中文字符 if(preg_match("/[\x{4e00}-\x{9fa5}]+/u", $name)) { //按照中文字符计算长度 $len = mb_strlen($name, 'UTF-8'); ...
PHP登录界面实例
m0_58464499的博客
03-20 1572
上述代码使用了 HTML 和 PHP 混合编程的方式,通过 HTML 表单提交用户输入的用户名密码PHP 代码接收并验证数据,如果登录成功则跳转到欢迎页面,否则显示错误提示。此外,我们还可以添加 CSS 样式表来美化登录页面。最终,经过以上步骤,我们可以获得一个简单美观的登录界面。
简洁大方干净!完整的php+mysql实现的登录和用户注册源码(含加密安全,解压即用)
04-14
1、总共6个php文件,解压后放到apache等web服务器目录中就可以使用。...登录时使用password_verify()函数验证密码以及密码哈希值。 4、用于创建自己的博客、论坛登录,或者用于DNSspoofing都是非常好的选择。
ExpressLogin:一个具有用户登录注册功能的 express.js 应用程序,使用passport.js 和mongoDB
06-06
快速登录 ...使用 Bcrypt 和 salting 进行安全密码加密 用户登录、注册和注销路由/视图 单独的路线、模型和视图文件以方便使用 使用 express.js 4 语法 待办事项清单 更多输入验证 记住我功能 重设密码
Study of pattern and products of salting out in treating mustard tuber wastewater by mixed hybrid membrane bioreactor
12-31
复合生物膜反应器处理榨菜废水中盐析规律及产物的研究,柴宏祥,艾南平,用复合生物膜反应器处理高盐高氮浓度的榨菜废水,盐析会加剧膜污染,导致膜通量的下降,甚至会破坏膜结构而使膜失效.为了解决这个问�
Share-Your-secret-Fun-website-:在“共享您的秘密”应用程序中,您可以与所有人匿名共享您的秘密:astonished_face:。 在此应用中,我们添加了Cookie和会话。 同时启用了oAuth和使用Google登录
03-06
分享您的秘密应用 :shushing_face: 在“共享您的秘密”应用中,您可以匿名共享您的秘密 :astonished_face: 与大家。 您还可以查看他人的秘密 使用的语言 EJS模板语言 CSS Javascript-Node.js ...
md5 php 加密后乱码_PHP中的密码加密的解决方案总结
weixin_33330157的博客
02-26 368
很多用户多个网站使用一个密码,当一个密码丢失其他也遭殃,本篇文章介绍了PHP中的密码加密的解决方案总结,有需要的朋友可以了解一下。层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃一般的解决方案。1、将明文密码做单向hash$password = md5($_POST["password"]);2、密码+salt后做单向hashPHP内置了...
密码加盐-Salting password
王浩的技术博客
07-24 661
今天看到一个新鲜词:Salting password,加盐的密码。感觉很是纳闷,这是什么意思呢?上网查了下原来是对密码进行一些混淆增加破解的难度。 一般对密码都不会是明文存储,而是对密码进行MD5处理,增强反向解密难度。但这样还是能可以找出破绽。 如果用户可以查看数据库,那么他可以观察到自己的密码和别人的密码加密后的结果都是一样,那么,就会知道别人用的和自己就是同一个密码。 对于这个问题其实...
密码及其他敏感信息保存问题
weixin_43837229的博客
09-10 2686
此处简单介绍密码如何保存,或者说其他敏感信息如何保存的方案。不局限于密码,其他敏感信息也可以参考一下,比如用户身份证信息、用户照片等,此类信息一旦验证通过是不能直接保存原信息的,涉及到用户隐私这是不合法的,所以一般方案是验证通过之后加密保存,或者不保存,标记该用户已通过身份验证即可。如要更换信息只能重新验证,跟找回密码类似。下面以密码为例进行说明 密码如何保存 既然是密码,那就不能保存明文,这不用...
php个人信息加密解密,PHP加密解密类实例代码
weixin_33478634的博客
04-14 236
关键代码如下所示:functioni_array_column($input,$columnKey,$indexKey=null){if(!function_exists('array_column')){$columnKeyIsNumber=(is_numeric($columnKey))?true:false;$indexKeyIsNull=(is_null($indexKey)...
Encrypt the plaintext passwords.
最新发布
05-17
2. Add salt to the hash: Salting involves adding a random string of characters to the password before hashing it. This makes it much harder for attackers to use precomputed tables to crack the ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值