我创建了一个使用Paypal接受付款的电子商务网站。我正处于测试阶段，所以我使用htaccess对整个网站进行了密码保护。问题是我正在使用IPN来验证PayPal付款，因此我的IPN脚本需要公开访问，以便PayPal可以与之通信。除了允许公众访问1个脚本文件外，有没有办法用密码保护整个网站？(我的ipn脚本文件)我正在使用PHP，这是我用来保护整个网站的.htaccess:AuthName"SiteAdministratrion"AuthUserFile/dir/.htpasswdAuthGroupFile/dev/nullAuthNamesecureAuthTypeBasicrequ

我正在为一个相对成熟的开源PHP项目做贡献。最近，我发现它将密码存储为纯MD5哈希值，这对我来说很麻烦。我想如果我要修复它，我还不如DoItRight(tm)，所以我想使用bcrypt。首先，我发现了其他语言:bcrypt-ruby似乎使用来自OpenBSD的原始C代码或jBCrypt的java代码。py-bcrypt是BSD代码的薄包装。BCrypt.net是jBCrypt的直接端口.现在，PHP本身在thecryptfunction中支持bcrypt(尽管被误称为简单的“河豚”).但是，5.3之前的版本需要系统本身的支持，一般由crypt_blowfish提供。.phpass相同，

我脑子里只有一个简单的社区问题。曾几何时，当我开始编程时，我使用md5来散列密码，后来发现md5很容易被破解，我应该使用salt来确保它的安全。我对md5没有信心，想使用sha1、sha256、sha512加密。但问题是现在我有加密形式的密码md5("password"+"salt")当时我不知道用户的密码，所以我做了什么sha1(md5("password"+"salt"))现在，在这个领域工作了几次之后，我发现sha1也不太安全并且已经损坏，我应该做的是使用bcrypt()来确保密码安全。所以从现在开始我将使用crypt(sha1(md5("password"+"salt")))密

我正在编写一个允许用户注册的PHP站点，注册用户和未注册用户都可以输入各自的用户名和密码(例如smith8h4ft-j9hsbnuio)学校网站。然后，我的PHP脚本发送一些$_POST变量，下载并解析标记页面，生成一个名为:marksDB=Array("subject"=>Array("A","B","A","C"),...)，并重新格式化。我的问题是:我应该如何保证用户名和密码的安全？对于未注册的用户，我目前忘记了用户名和密码并将marksDB放入$_SESSION。当用户不活动时，例如30分钟，marksDB被删除。$_SESSION中的这些数据有多安全？如果用户登录后查看页面一

这个问题在这里已经有了答案:UsingPHP5.5'spassword_hashandpassword_verifyfunction(4个答案)关闭7年前。我正在考虑使用password_hash()函数来加密用户密码。我知道如果你不提供这个函数默认生成盐，甚至鼓励使用默认盐而不是你自己的盐。我目前正在权衡3个选项，无法决定选择哪一个，所以如果你能帮助我，我将不胜感激。1。选项:带默认盐的password_hash()$passwordInput=$_POST['password'];$passwordHash=password_hash($passwordInput,PASSWORD

var$validate=array('password'=>array('passwordlength'=>array('rule'=>array('between',8,50),'message'=>'Enter8-50chars'),'passwordequal'=>array('checkpasswords','message'=>'Passwordsdontmatch')));functioncheckpasswords(){returnstrcmp($this->data['Airline']['password'],$this->data['Airline']['conf

这个问题在这里已经有了答案:关闭11年前。PossibleDuplicate:SecurehashandsaltforPHPpasswords我正在制作一个网站，我需要一个安全算法来存储密码。我最初想到的是bcrypt，但后来我发现我的主机不支持它，而且我无法更改主机。我的主机允许此加密:标准DES还有这些散列:MD5md2、md4和md5sha1、sha256、sha384和sha512ripemd128、ripemd160、ripemd256和ripemd360漩涡tiger128,3,tiger160,3,tiger192,3,tiger128,4,tiger160,4&tige

我正在为iOS开发一个应用程序，它会让用户填写他们的密码。然后使用POST或GET将密码发布到我网站上的PHP页面。(它必须是明文，因为它在脚本中使用。)除了HTTPS，还有什么方法可以保护密码吗？在Obj-C中加密，然后在PHP中解密？注意:不会发送用户名...只有密码会发送到服务器。编辑:需要澄清的是，DavidStratton是正确的...我试图防止公共(public)场所的恶意嗅探器在明文密码发布到服务器时简单地读取它们。 最佳答案 挑战响应大纲假设您有单向散列函数abc(实际上使用md5或sha1加密用于PHP的强哈希算法

使用电子邮件地址作为salt是个坏主意吗？要密码吗？ 最佳答案 编辑:让我推荐给你这个answeronSecurityStackExchange其中解释了很多关于密码散列和key派生的细节。底线:使用已建立的安全密码散列方案，该方案在某种程度上会占用大量资源以防止暴力攻击，但限制允许的调用次数以防止拒绝服务(DoS))攻击。如果您的语言库有它的功能，请在升级时验证它是否做了它应该做的事情，特别是如果它是PHP。由于历史原因留下了下面的答案。您可以使用用户的登录名作为盐，这可能比电子邮件地址更改的可能性更小(编辑:0xA3正确指出，这

我正在尝试PHP5.5中的一个名为password_hash()的新函数。无论我做什么，$hash和$password都不匹配。$password="test";$hash="$2y$10$fXJEsC0zWAR2tDrmlJgSaecbKyiEOK9GDCRKDReYM8gH2bG2mbO4e";if(password_verify($password,$hash)){echo"Success";}else{echo"Error";} 最佳答案 您的代码的问题是您在处理散列时使用双引号"而不是单引号'。分配时:$hash="$2y