php泄露数据库密码,关于php:加密SQL数据库中的密码列

最新推荐文章于 2021-03-19 05:40:16 发布
最新推荐文章于 2021-03-19 05:40:16 发布
阅读量123 收藏
点赞数
文章标签: php泄露数据库密码

我的数据库名密码中有一列,我只想在发布到数据库之前散列或加密密码。我在php提交文件中有这样的代码。

session_start();

include('config.php');

$ID=$_POST['ID'];

$name=$_POST['name'];

$password=$_POST['password'];

$department=$_POST['department'];

$email=$_POST['email'];

$ID_arr=array();

$name_arr=array();

$password_arr=array();

$dept_arr=array();

$email_arr=array();

$i = -1;

++$i;

$ID_arr[$i]= $_POST['ID'];

$name_arr[$i]= $_POST['name'];

$password_arr[$i]= $_POST['password'];

$dept_arr[$i]= $_POST['department'];

$email_arr[$i]= $_POST['email'];

$j=0;

while ( $j <= $i)

{

$ID = $ID_arr[$i];

$name = $name_arr[$i];

$password = $password_arr[$i];

$department = $dept_arr[$i];

$email = $email_arr[$i];

$sql ="INSERT INTO `employee`. `admin` (ID ,name ,password ,department

,email)         VALUES     (

'$ID' ,'$name' ,'$password' ,'$department' ,'$email'

)";

$result = mysql_query($sql);

if(!$result){

die('invalid query:'.mysql_error());

}

else

echo ("

" ."You have been succesfully registered..." ."");

header('Refresh:5; url=adminlogin.php');

die;

}

?>

我可以知道加密函数应该放在哪里吗?或者用什么方法加密密码?

可能是像这样的东西。

更好的是,请参阅这个(接受的)答案stackoverflow.com/a/6782189/1415724

这是另一篇很好的文章,相当大,但值得一读openwall.com/article s/php-users-passwords

最后一个larryullman.com/forums/index.php?/主题/&hellip;

stackoverflow.com/questions/3981638/&hellip;

您可以使用mysql PASSWORD函数和php crypt函数。

mysql函数示例:

INSERT INTO table VALUES (PASSWORD('abcd'));

如果php大于等于5.5.0,则:

$password = password_hash('the password');

如果您有旧版本的PHP,那么使用兼容性库。包括lib/password.php文件,然后像往常一样使用文档。

首先,忘记MD5。如果使用php>=5.1.2,则可以使用hash()函数。

根据您所关注的代码:

...

$j=0;

while ( $j <= $i)

{

$ID = $ID_arr[$i];

$name = $name_arr[$i];

$password = $password_arr[$i];

$department = $dept_arr[$i];

$email = $email_arr[$i];

...

您只需对$password进行以下操作:

$password = hash('sha256', $password_arr[$i]);

但是,使用sha256,必须确保数据库表中的密码字段的长度为64或更大,即varchar(64)或char(64)。参考以下问题的答案:

使用sha256哈希时,哈希有多长?(例如,我的mysql varchar应该多长时间?)

另外,在config.php中,您可以定义一个slat,例如$salt,它是一个固定字符串,将添加到每个密码中:

//in your config.php

...

$salt='jhfdkjdhfTyhdh3365@jdh69kkshhQAAAiyeg'// some ungussed string

...

// in your hash code:

$password = hash('sha256', $salt.$password_arr[$i]);

谢谢你的回答,我总是能在这个网站上解决我的问题,以及你们所有人的友好性格,很高兴见到你:)

您好,由于输入的密码与数据库中的哈希密码不匹配,登录时间有问题,我可以重新刷新输入的密码,因为它已经是salt了

与在保存到数据库之前对其进行哈希处理相同。在数据库的选择查询中插入哈希值。

如果您的密码是一个变量,请尝试使用类似的方法

$input=mysqli_real_escape_string($con, $_POST['password']);

$password = md5($input);

让你的SQL

UPDATE table SET password='$password';

未测试的代码…

来自实际手册。

http://php.net/manual/en/function.md5.php

您不应该使用MD5算法来散列密码。多年来它一直不安全。

囡囡团团圆圆
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 加密保存mysql_关于php:如何加密插入MySQL表的密码
weixin_39727706的博客
02-28 122
本问题已经有最佳答案,请猛点这里访问。我有一些代码可以注册,但我不知道如何散密码。我想用sha512。$con=mysqli_connect("localhost","root","","users");// Check connectionif (mysqli_connect_errno()){echo"Failed to connect to MySQL:" . mysqli_connect...
php数据库爆破,phpMyAdmin数据库爆破python脚本
weixin_31958413的博客
03-23 200
#!usr/bin/envpython#encoding:utf-8importrequestsheaders={'Content-Type':'application/x-www-form-urlencoded','User-Agent':'Mozilla/5.0(X11;Linuxx86_64)AppleWebKit/537.36(KHTML,likeGecko)Ch...
php mysql暴露_PHP安全编程:不要暴露数据库访问权限
weixin_35625676的博客
01-30 246
数据库使用需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程为了方便,一般都会用一个db.inc文件保存,如:$db_user = 'myuser';$db_pass = 'mypass';$db_host = '127.0.0.1';$db = mysql_connect($db_host, $db_user, $db_pass);?>用户名及密码都是敏感数据,是需要特别注意...
php报错 数据库密码暴露,使用pdo操作数据库,动态填充前端数据--2019年9月25日...
weixin_33750004的博客
03-19 213
0x01PDO概念PDO::(Php Data Object) php数据对象,他统一了PHP访问各种类型数据库的访问方式。简单说就是,只要提供正确的数据库类型与相应的成功连接,PDO就能用基本的数据库语句来操作数据库,减少了不同数据库间语法的差异带来的麻烦。0x02PDO创建数据库连接对于使用PDO连接数据库有几点知值得注意的地方:1.由于PDO是一个对象,他需要被new...
PHP登录验证功能示例【用户名、密码、验证码、数据库、已登陆验证、自动登录和注销登录等】
10-17
在实际应用密码通常会被加密存储,这里假设密码加密。 2. **验证码验证**: 验证码用于防止自动化脚本的恶意尝试登录。`captcha.php`生成随机的图像验证码,用户输入后在服务器端进行验证。`$verifycode`是...
thinkphp修改当前账号密码并带数据库间控制器
02-23
在ThinkPHP 3.2框架,修改当前账号的密码涉及到多个关键步骤,包括用户验证、密码加密数据库操作以及间控制器的运用。下面将详细解释这些知识点。 1. **ThinkPHP 3.2框架**:这是一个轻量级的PHP开发框架,...
基于PHP+SQL考勤系统安全性实现
最新发布
04-29
系统对用户敏感数据(如密码、个人信息等)进行了加密处理,确保数据在存储和传输过程的安全性。采用业界认可的加密算法,对数据进行加密存储,并在需要时进行解密操作,防止数据泄露。 四、日志记录与监控 系统...
PHP学生管理系统,里面有数据库,有登录界面。
02-02
另外,还需要对密码进行哈希加密存储,避免明文密码泄露。 ### 7. 用户权限管理 一个完善的学生管理系统可能还包括用户角色和权限管理。例如,管理员可能有更高的权限,可以查看所有学生信息,而普通学生只能查看...
PHP写的MySQL数据库用户认证系统代码
10-30
- 密码应该加密存储,防止明文泄露。 - 使用预编译语句或参数化查询防止SQL注入。 - 提供错误处理和反馈,增强用户体验。 - 实现更完善的session管理,替代cookie作为用户身份跟踪的主要手段。 - 添加密码找回、邮箱...
Thinkphp5.X 设计缺陷导致泄漏数据库账户密码
Fly_鹏程万里
12-11 9032
0x00 框架运行环境 ThinkPHP是一个免费开源的,快速、简单的面向对象的轻量级PHP开发框架,是为了敏捷WEB应用开发和简化企业应用开发而诞生的。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。 PDO查询能阻止大多数传参攻击,而且框架要求的php版本是5.4;这就防止了php在5.3.6下有个PDO本地查询造成SQL注入的漏洞。...
php mysql md5加密_php 用户密码MD5加密存入数据库问题//
weixin_33156085的博客
01-28 927
比如说用户注册后,后台给用户密码MD5加密了在存入数据库,用户在登入的时候输入的密码要与数据库保存的密码对比。我想问的是,用户登入时,后台要把密码用MD5加密后才能与数据库密码比较吗?对,确实如此。实际上MD5加密方式现在并不安全,更好的方式是采用sha1或者使用php提供的password_hash函数string password_hash ( string $password , inte...
PHP密码的安全
koastal的博客
11-04 1143
php的基本哈希函数已经不再安全?php手册有专门的一个部分来介绍这个问题 http://php.net/manual/zh/faq.passwords.php很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库的,包括我最近在用的开源项目zabbix的web管理界面。$password = "1234"; $hash = md5($password); echo $res;php
使用PHP password_hash()加密,再也不怕被拖库了
TAKUNHA的博客
09-19 3335
你还在用md5+salt方式加密密码吗?PHP5.5引入了Password Hashing函数,内核自带无需安装扩展。在PHP5.4下测试了下也可是可以的,使用前最好确认一下你当前的环境是否支持这些函数。 Password Hashing主要提供了4个函数 //查看哈希值的相关信息array password_get_info (string $hash)//创建hash密码string pa
mysql绕过密码漏洞_php mysql任意密码漏洞以及解决办法
weixin_39989215的博客
02-08 278
/*** mysql任意密码漏洞** @param unknown_type $user* @param unknown_type $passwd* @return unknown*/public function getLogin( $user, $passwd ){$passwd = md5(md5(md5($_POST['pass'])));$where = "username = '{$u...
PHP数据库安全之SQL注入
07-17 915
 很多 web 开发者没有注意到 SQL 查询是可以被篡改的,因而把 SQL 查询当作可信任的命令。殊不知道,SQL 查询可以绕开访问控制,从而绕过身份验证和权限检查。更有甚者,有可能通过 SQL 查询去运行主机操作系统级的命令。   直接 SQL 命令注入就是攻击者常用的一种创建或修改已有 SQL 语句的技术,从而达到取得隐藏数据,或覆盖关键的值,甚至执行数据库主机操作系统命令的目的。这是通
PHP注册登录功能要求输入密码安全以及连接数据库数据插入数据库注册成功返回登录代码
05-04
值得注意的是,上面的代码使用了password_hash()函数对密码进行加密,这是一种安全的密码加密方式,可以有效防止密码泄露。在登录时,需要使用password_verify()函数来验证用户输入的密码是否正确。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值