php安全的密码存储方式,php – 安全密码生成和存储

最新推荐文章于 2022-11-23 09:49:20 发布
最新推荐文章于 2022-11-23 09:49:20 发布
阅读量212 收藏
点赞数
文章标签: php安全的密码存储方式

我正在构建一个登录系统,我想确保我正在编写写代码以在db中生成和存储密码. $options [‘passwd’]是用户选择作为密码的字符串.

这是我生成哈希的代码:

public function createPasswd($options) {

$hash_seed = 'm9238asdasdasdad31d2131231231230132k32ka¡2da12sm2382329';

$password = $options['passwd'];

$date = new DateTime();

$timestamp = $date->getTimestamp();

$rand_number = rand($timestamp,$timestamp + pow(91239193912939123912,3));

$rand = pow($rand_number, 12);

$salt = str_shuffle($rand.$hash_seed);

$hash = crypt($password, $salt);

return $hash;

}//End class createPasswd

我只是将哈希值存储在数据库中,然后将其与用户密码进行比较,如下所示:

if ($hash == crypt($password, $hash)) {

echo 'Password is valid!';

} else {

echo 'Invalid password.';

}

这够强吗?我错过了一些大问题吗?

解决方法:

更长的盐并不意味着更好的保护.您没有正确使用crypt功能. $salt参数不应该是一个简单的随机字符串.

考虑这个例子:

echo crypt('password one', 'salt lorem ipsum dolor sit amet');

echo crypt('password two', 'salt');

两者都会返回相同的字符串! (sa3tHJ3 / KuYvI)

检查http://php.net/crypt以获取有关如何正确使用$salt的更多信息.

保持一个唯一的hash_seed代码端然后在数据库中只存储一个组合密码和hash_seed的字符串的sha哈希(或其他算法)也好得多(更安全?).

正确的实施将是:

define('SECRET_KEY', 'm9238asdasdasdad31d2131231231230132k32ka¡2da12sm2382329'); // longer is better

public function createPasswd($options) {

return hash('sha256', SECRET_KEY . $options['passwd']);

}

要检查密码:

if ($stored_hash == hash('sha256', SECRET_KEY . $password) {

echo 'Password is valid!';

} else {

echo 'Invalid password.';

}

sha256可以替换为您系统上的任何可用算法.获取完整列表:

var_dump(hash_algos());

标签:php,passwords,hash

来源: https://codeday.me/bug/20191007/1865022.html

海有舟可渡山有路可行
关注
php实现点卡卡号密码生成函数类.zip
07-11
点卡通常在游戏、软件激活、虚拟商品购买等场景中使用,它包含一个唯一的卡号和对应的安全密码,用户通过这两个信息来消费或解锁服务。 点卡卡号和密码生成通常涉及到安全性和随机性,确保每个卡号和密码都是唯一...
PHP中散列密码安全性分析
10-16
虽然`password_hash`和`password_verify`组合提供了高安全性的密码处理,但它们也可能带来性能上的挑战,尤其是当需要从外部存储(如Redis)获取盐值时。这可能会导致额外的查询操作,牺牲一定的性能来换取更高的...
php 用户密码存储,用户密码存储方式
weixin_39640221的博客
03-25 326
用户密码存储方式用户注册时:1)用户提供密码(以及其他用户信息);2)系统为用户生成Salt值;3)系统将Salt值和用户密码连接到一起;4)对连接后的值进行散列,得到Hash值;5)将Hash值和Salt值分别放到数据库中。 登录时:1)用户提供用户名和密码;2)系统通过用户名找到与之对应的Hash值和Salt值;3)系统将Salt值和用户提供的密码连接到一起;4)对连接后的值进行散列,得到Ha...
php安全密码存储方式,如何安全存储用户的密码
weixin_29724477的博客
03-17 321
获得密码存储方案安全的最简单方法是使用标准库.由于安全性往往要复杂得多,而且比大多数程序员单独处理的可能性更不可见,所以使用标准库几乎总是最简单和最安全的(如果不是唯一的)可用选项。新的PHP密码API(5.5.0+)如果使用的是PHP5.5.0或更高版本,则可以使用新的简化密码散列API使用PHP密码API的代码示例:...
php存储密码,php 以可逆形式存储密码
weixin_28694295的博客
03-25 143
首先,说明(希望)显而易见的是,如果可以任何方式避免存储用户名和密码这样做;这是一个很大的责任,如果您的凭据存储被破坏,它可能会为同一用户提供访问许多其他地方(由于密码共享)。第二,如果您必须存储凭据,而不是使用不可逆的,加密密码散列来存储密码,那么如果您的数据受到威胁,则密码不能轻易被逆向设计,并且根本不需要存储解密密钥。如果您必须存储可解密凭据:>选择一个很好的加密算法 AES-2...
php安全密码存储方式,php 如何安全存储用户的密码? - 程序园
weixin_42641998的博客
03-17 278
获取密码存储方案安全的最简单方法是使用标准库。因为安全性往往比大多数程序员单独处理更复杂和更隐蔽的可能性,使用标准库几乎总是最简单和最安全(如果不是唯一的)可用选项。新的PHP密码API(5.5.0)如果您使用PHP版本5.5.0或更高版本,或者如果您使用的是5.3.7或更高版本并安装ircmaxell/password_compat,则可以使用新的简化密码哈希API使用PHP密码API的代码示...
Android密码随机生成存储 Password Generation
最新发布
叶小叶的博客
11-23 378
因为本人的“榆木脑袋”🤔,总是记不住密码,在注册账号的时候,也想不出个安全密码,所以决定做这么一个密码生成存储一体的android软件。
php密码生成类实例
10-25
PHP密码生成类是一个实用的工具类,它能够在开发过程中帮助开发者快速...通过这种方式,开发者无需每次都手动编写复杂的密码生成逻辑,从而节省大量的开发时间和精力,同时也避免了密码生成过程中可能出现的逻辑错误。
php生成随机密码
10-23
代码示例通过定义一个清晰的函数和算法,提供了一种有效的方式生成一个包含大小写字母和数字的随机密码。需要注意的是,生成密码如果用于高安全级别需求,应考虑使用更为安全的随机数生成方法和更加复杂的密码...
php生成随机密码自定义函数代码(简单快速)
10-25
因此,增加字符集的复杂性和增大密码长度可以提高密码安全性。在实际应用中,建议至少使用8位以上的密码,并包含大写字母、小写字母、数字和特殊字符。 总之,PHP的`getRandPass`函数提供了一种简单、快速的方法...
PHP安全 [安全编码]
weixin_45253622的博客
05-26 7806
总则: 绝对安全的系统是不存在的。最好的安全机制应该能在不防碍用户,并且不过多地增加开发难度的情况下做到能满足需求。 木桶原理,一个系统的的强度是由它最薄弱的环节决定的。 安全编码细则: 所有输入的数据都是有害的(直接或者间接由用户输入的) 不依赖运行环境的安全配置 安全控制措施落实在最后执行阶段 最小化 失败终止 文件系统安全 源码: <?php //从用户目录中删除指定的文件 $username = $_POST['user_submitted_name']; $us.
php密码保护,如何在PHP中保护数据库密码
weixin_33272515的博客
03-21 192
Qyouu最安全的方法是根本不使用PHP代码中指定的信息。如果使用Apache,则意味着在httpd.conf或虚拟主机文件中设置连接详细信息。如果这样做,就可以调用MySQL_CONNECT()而不带任何参数,这意味着PHP永远不会输出您的信息。以下是如何在这些文件中指定这些值:php_valuemysql.default.usermyusernamephp_valuemysql...
php怎么保持传递数据安全性,基于PHP实现数据安全性的方法及比较
weixin_39668470的博客
03-20 285
0引言随着Web2.0时代动态网站的盛行,Linux+Apache+Mysql+PHP,简称LAMP,已成为搭建动态网站或者服务器的黄金组合[1]。LAMP的每一个组件本身都是各自独立的程序,但是因为常被放在一起使用,拥有了越来越高的兼容度,更由于其开源的特性,大大降低了网站开发项目的投资成本,故成为中小型企业或是个人的首选Web应用程序平台。其中PHP(hypertextpreprocessor...
如何在PHP中保护数据库密码
asdfgh0077的博客
02-09 2273
PHP应用程序建立数据库连接时,通常当然需要传递登录名和密码。 如果我为我的应用程序使用单个最小权限登录名,则PHP需要在某个地方知道该登录名和密码。 保护该密码的最佳方法是什么? 似乎只
php password_详谈PHP中的密码安全性Password Hashing
weixin_32323455的博客
03-09 477
如果你还在用md5加密,建议看看下方密码加密和验证方式。先看一个简单的Password Hashing例子://require 'password.php';/*** 正确的密码是secret-password* $passwordHash 是hash 后存储密码* password_verify()用于将用户输入的密码和数据库存储密码比对。成功返回true,否则false*/$passwor...
php连接数据库的安全性,php数据库安全——设计、连接和加密
weixin_30952319的博客
03-10 289
设计数据库第一步一般都是创建数据库,除非是使用第三方的数据库服务。当创建一个数据库的时候,会指定一个所有者来执行和新建语句。通常,只有所有者(或超级用户)才有权对数据库中的对象进行任意操作。如果想让其他用户使用,就必须赋予他们权限。应用程序永远不要使用数据库所有者或超级用户帐号来连接数据库,因为这些帐号可以执行任意的操作,比如说修改数据库结构(例如删除一个表)或者清空整个数据库的内容。应该为程序的...
php记住登录密码 安全,加强用户密码保存及检验的安全性_PHP教程
weixin_26824207的博客
03-17 134
以下 $username, $password 分别指用户名和密码,$sitekey 为站点扰码。密码设置提交的时候,使用 javascript 处理t_code0.value = md5 (username.value “|” passwd.value);passwd.value = ”;假如提交的 passwd 有值或 t_code0 为空,设置密码失败;t_code0 的值保存到数据库的 s...
php怎么储存临时数据,PHP临时数据的处理,求靠谱方式
weixin_36485139的博客
03-10 598
碰到这么个问题网站有一块搜索功能,调用了第三方的服务,通过搜索关键词,第三方服务返回一个JSON数据列表,可以直接展示列表页,是没有问题的,但是关键还有一个详情页,第三方的服务只提供列表数据(列表里的items包含了所有详情数据),没有提供通过ID什么的单独返回详情的功能,我考虑了几种方式 都有不妥的地方第一,把列表存 session优点: 自动过期,存取方便,一个用户一个,多用户同时使用不要考虑...
手机身份证号*****加密
热门推荐
weixin_44944193的博客
04-09 1万+
今天写的一个页面,里面有个效果,手机号中间4位数字被替换了星号,这个效果挺简单的,实现的方法有多种,既可以是字符串截取也可以用正则 ^_^ 要达到的效果如下: 135****2627 JS代码: 方法 ① :字符串截取+拼接 var phone = '13500001111'; phone.substr(0, 3) + '****' + phone.substr(7, 11); ...
PHP安全编程实战:Php Architects指南
2. **密码和身份验证**:讨论如何安全存储和处理用户密码,以及实现安全的身份验证机制,例如使用哈希和盐值来增强密码安全性。 3. **文件上传与下载**:讲解如何处理用户上传的文件,防止恶意文件上传,以及安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值