php中写salt,php – 使用sha1和salt存储密码

最新推荐文章于 2021-07-06 16:52:50 发布
最新推荐文章于 2021-07-06 16:52:50 发布
阅读量271 收藏
点赞数
文章标签: php中写salt

我有一个简单的注册脚本在PHP完成,我只是好奇,如果我这样做的方式足够安全,以存储用户密码.我正在生成一个32位随机盐并将其附加到sha1哈希密码.

//create new validator object

$validator = new data_validation();

//validate user input

$firstName = $validator->validate_fname($firstName); //is the first name a string?

$lastName = $validator->validate_lname($lastName); // is the last name a string?

$username = $validator->validate_username($username); // is the username a string?

$email = $validator->validate_email($email); //is the email in valid format?

//make sure there isn't duplicate emails

$valQuery = $link->query("SELECT email FROM users WHERE email = '" .$email. "'");

if ($valQuery->num_rows == 1) {

echo "An email is already registered with that address";

return false;

}

// generate a random salt for converting passwords into sha1

$salt = $link->real_escape_string(bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM)));

$saltedPW = $password . $salt;

$hashedPW = sha1($saltedPW);

mysqli_connect($db_host, $db_user, $db_pass) OR DIE (mysqli_error());

// select the db

mysqli_select_db ($link, $db_name) OR DIE ("Unable to select db".mysqli_error($db_name));

// our sql query

$sql = "INSERT INTO users (first_name, last_name, username, email, password, salt) VALUES ('$firstName', '$lastName', '$username', '$email', '$hashedPW', '$salt');";

//save the updated information to the database

$result = mysqli_query($link, $sql) or die("Error in Query: " . mysqli_error($link));

if (!mysqli_error($link))

{

$row = mysqli_fetch_assoc($result);

$_SESSION['user_id'] = $row['user_id'];

$_SESSION['loggedin'] = TRUE;

header("Location: ../home");

}

此外,我正在使用程序和oop php的组合.其中大部分都是在过程中完成的,但是有一些oop类,比如你在上面的脚本中看到的验证类.这是否会导致使用这两种样式的性能问题?

解决方法:

最重要的是:

Use scrypt when you can; bcrypt if you cannot.

Use PBKDF2 if you cannot use either bcrypt or scrypt.

有关PBKDF2,bcrypt和scrypt的比较,请参阅this answer.

[MD5, SHA1, SHA256, SHA512, SHA-3, etc] are all general purpose hash functions, designed to calculate a digest of huge amounts of data in as short a time as possible. This means that they are fantastic for ensuring the integrity of data and utterly rubbish for storing passwords.

PHPass可能是在PHP中进行bcrypt散列的最简单方法.如果你愿意,也可以使用crypt function和CRYPT_BLOWFISH进行do it the hard way,但要注意有很多方法可以解决它,并且界面相当神秘(就像你指定盐值一样).

标签:php,hash,mysqli,salt,sha1

来源: https://codeday.me/bug/20190725/1536907.html

还是那个小宇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
md5、sha1+salt和Bcrypt对比
无名剑
10-10 7287
引言 用md5/sha1+salt的方法保存密码是不安全的. 文章中用连续9个Bcrypt加感叹号来强调, 保存密码推荐用Bcrypt. csdn.net两天前把数据库弄丢了, 里面的密码是明文保存的. 我对密码和安全没有研究, 但是在我粗浅的记忆中, hash+salt是非常主流的方法. 如果说这样也不靠谱, 那我正好借这个机会复习一下. 密码等级我把密码安全分为两个等级, 黄色和红色. 当数据库
PHP盐值加密(注册、登陆)
Shiva的博客
04-23 3916
前两天在做项目时,get到了一个新的技能。就是盐值加密,用来提升用户注册、登陆的安全性。很简单的一个东西,我大概说一下实现原理,代码就不贴图了。 加密盐的实现方法:加密存储:    输入: 密码字符串passWord    输出:盐值 salt密码密文passWordHash    函数:加密hash函数    其中:“盐值 salt”是在加密过程中生成的随机字符串;    可以将salt放到...
php写一个md5/sha1+salt密码
lnnu_jxxy的专栏
01-30 257
最近暴露出的明文密码事件,自己以前一直是使用md5直接保存,了解一下暴力破解md5也是很容易攻破,google了一下大家推荐md5/sha1+salt的方式,在保证性能的情况下,安全性也提高了。今晚没事自己写了一个简单的处理类。 [code="java"]...
php中写salt,PHP密码加盐salt Hash思路
weixin_26741799的博客
03-11 638
加盐Hash:$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));$password=sha1($register_password.$salt);解释:首先使用mcrypt,产生电脑随机生成的,专门用户加密的随机数函数。第二步,把得到的随机数通过base64加密,使其变长并且不利于猜解。第三步,把得出的盐拼接到密码的后面,再对其...
PHP 密码加盐
一直努力记录,遇到的各种奇葩问题
07-06 429
直接上代码 PHP加密 function salting($password,$encrypt=''){ $pwd = array(); $pwd['encrypt'] = $encrypt ? $encrypt : create_randomstr(); $pwd['password'] = md5(md5(trim($password)).$pwd['encrypt']); return $encrypt ? $pwd['password'] : $pwd; }
PHP实现的简单sha1加密功能示例
12-20
实际上,SHA1和MD5在现代密码学标准下都被认为不够安全,因为它们可能遭受碰撞攻击。对于安全性要求较高的应用,应该考虑使用如SHA-256或更强的哈希函数,或者结合密钥派生函数和加盐(salt)机制。 此外,代码中...
详解PHP处理密码的几种方式
10-21
PHP中,处理密码的安全性至关重要,因为用户数据的保护是任何应用程序的基础。本文将详细介绍PHP处理密码的几种常见方式...通过使用这些功能,可以确保密码存储和验证更加安全,从而保护用户的数据免受潜在的攻击。
net-asp-php-sha256.zip
08-21
SHA256是一种广泛使用密码散列函数,能够生成一个256位(32字节)的散列值,常用于数据完整性检查和密码存储。 SHA256算法是SHA-2家族的一部分,由美国国家安全局设计,于2001年由NIST(美国国家标准与技术研究所...
net、asp、php三个平台的sha256加密
11-08
它能够将任意长度的信息转化为固定长度的摘要值,这个摘要值具有唯一性和不可逆性,常用于数据完整性验证和密码存储。在.NET、ASP和PHP这三个不同的开发平台上实现SHA256加密,确保了跨平台的一致性和安全性。 1. *...
PHP_JiaMI.rar_php 加密_php加密
09-19
存储用户密码时,应使用`password_hash()`函数配合`password_verify()`进行处理,而不是直接存储明文密码,这样即使数据库被泄露,攻击者也无法直接获取到密码。 5. **密钥管理**: 对于对称加密,密钥的安全...
登陆加密MD5+Salt+SHA1附代码
09-11
MD5 的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3和MD4发展而来。 作用:把一个任意长度的字节串变换成一定长的大整数 SHA安全哈希算法(Secure Hash Algorithm)主要适用于数字签名标准(Digital Signature Standard DSS)里面定义的数字签名算法(Digital Signature Algorithm DSA)。SHA-1是一种数据加密算法,该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。 作用: 对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。 从查表法可以看出,即便是将原始密码加密后的哈希值存储在数据库中依然是不够安全的。那么有什么好的办法来解决这个问题呢?答案是加盐。 Salt是什么?就是一个随机生成的字符串。我们将盐与原始密码连接(concat)在一起(放在前面或后面都可以),然后将concat后的字符串加密。采用这种方式加密密码,查表法就不灵了(因为盐是随机生成的)。
PHP SALT 密码生成与验证类
swengineer
07-09 1219
<?php /** * 密码生成类,额外添加salt,使密码更安全 * * 如果需要可分别编写前后台验证规则 * * @author Robot * @version 1.0 * @example * Password::make($password); * 返回结果: * Array ( [salt] => r8lbCQS4ng ...
saltstack php,saltstack部署nginx+php
weixin_39775127的博客
03-18 63
saltstack部署nginx+php发布时间:2020-06-26 18:58:20来源:51CTO阅读:828作者:jerry1111111因为基本上生产环境中都是nginx+php的环境,所以就不单独列出salt部署php的过程了,这里就结合我在生产环境中的脚本进行nginx+php环境的部署。部署规划:1)编译安装libiconv、libmcrypt、mhash以及mcrypt2)编译安...
php salt 加密,php 如何为一个密码实现sha 512,md5和salt加密
weixin_29054245的博客
03-10 406
编辑:由于这个答案似乎仍然引起了一些兴趣,让我引导你们走向password_hash(),这本质上是一个关于crypt()的包装,但更简单易用.如果您使用的是PHP< 5.5,那么password_compat是由同一个人编写的,实际上是与官方文档相关联的.如果您已经在使用crypt(),那么值得注意的是password_verify()和password_needs_rehash()都可以...
做好PHP这盘菜,给用户密码加点"盐"(散列值)
weixin_34388207的博客
03-07 309
为什么80%的码农都做不了架构师?>>> ...
md5/sha1+salt和Bcrypt
weixin_30906185的博客
12-24 97
今天在weibo.com上看到一则消息说, 用md5/sha1+salt的方法保存密码是不安全的. 文章中用连续9个Bcrypt加感叹号来强调, 保存密码一定要用Bcrypt. 这个消息非常应景, 因为csdn.net两天前把数据库弄丢了, 里面的密码是明文保存的. 我对密码和安全没有研究, 但是在我粗浅的记忆中, hash+salt是非常主流的方法. 如果说这样也不靠谱, 那我正好借这个机会复...
常规性加密:sha1+MD5+salt
小下和的博客
12-12 6211
现如今互联网时代,安全问题不容小觑,加密技术屡见不鲜,接下来先简单介绍下sha1和MD5加密; MD5 的全称是Message-Digest Algorithm 5(信息-摘要算法),在90年代初由MIT Laboratory for Computer Science和RSA Data Security Inc的Ronald L. Rivest开发出来,经MD2、MD3和MD4发展而来。 作用:把
Saltstack自动化源码编译安装PHP以及LNMP安装整合
Lockey23的博客
10-16 1440
Saltstack自动化源码编译安装PHPSaltstack自动化部署LNMP环境
关于MD5,SALTSHA1的部分HASH算法解析
Anteoy的博客
10-03 1851
在这里我只贴下简单实现,有兴趣了解shiro salt的,大家可以去看看源码哈,或者可以自己实现一些简单的md5,sha1,base64等的简易salt实现,以下示例基本都有注释,如有不对,欢迎指正package com.zy.md;import java.security.MessageDigest; import java.util.Random;/** * Created by root o
提供一个密码生成工具类,生成随机的salt并经过1024次sha-1加密生成密码,用java实现
最新发布
06-08
好的,以下是一个Java实现的密码生成工具类,使用了随机生成的salt和1024次SHA-1哈希函数加密: ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; public class PasswordGenerator { private static final int SALT_LENGTH = 16; // salt的长度 private static final int HASH_ITERATIONS = 1024; // 哈希迭代次数 /** * 生成随机的salt * @return salt的字节数组 */ public static byte[] generateSalt() { SecureRandom random = new SecureRandom(); byte[] salt = new byte[SALT_LENGTH]; random.nextBytes(salt); return salt; } /** * 生成经过1024次SHA-1加密的密码 * @param password 原始密码 * @param salt salt的字节数组 * @return 经过加密的密码的字节数组 * @throws NoSuchAlgorithmException */ public static byte[] generateHashedPassword(String password, byte[] salt) throws NoSuchAlgorithmException { MessageDigest digest = MessageDigest.getInstance("SHA-1"); digest.reset(); digest.update(salt); byte[] hashedPassword = digest.digest(password.getBytes()); for (int i = 0; i < HASH_ITERATIONS - 1; i++) { digest.reset(); hashedPassword = digest.digest(hashedPassword); } return hashedPassword; } /** * 将字节数组转换为十六进制的字符串 * @param bytes 待转换的字节数组 * @return 转换后的十六进制字符串 */ public static String bytesToHex(byte[] bytes) { StringBuilder hexString = new StringBuilder(); for (byte b : bytes) { hexString.append(String.format("%02x", b)); } return hexString.toString(); } } ``` 使用示例: ```java try { // 生成随机的salt byte[] salt = PasswordGenerator.generateSalt(); System.out.println("Salt: " + PasswordGenerator.bytesToHex(salt)); // 生成经过1024次SHA-1加密的密码 String password = "123456"; byte[] hashedPassword = PasswordGenerator.generateHashedPassword(password, salt); System.out.println("Hashed password: " + PasswordGenerator.bytesToHex(hashedPassword)); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); } ``` 输出结果: ``` Salt: d4c5a0c1a6d7e38d46d6b98187b0c5fd Hashed password: 9b7f3e15b2e8ce3a3dc7f1b3d56aa6e9f231a1b5 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值