我正在阅读本教程以获得 simple PHP login system .
最后推荐你应该encrypt your password using md5() .
虽然我知道这是一个初学者教程,您不应该将银行对帐单放在这个登录系统后面,但这让我想到了加密。
所以我继续前进(这个网站对新手最有用的问题之一):What should a developer know before building a public web site?
它说(在安全下)你应该:
EncryptHash and salt passwords rather than storing them plain-text.
它没有说太多,没有引用。
所以我继续自己尝试:
$pass = "Trufa";
$enc = md5($pass);
echo $enc; #will echo 06cb51ce0a9893ec1d2dce07ba5ba710
这让我想到,虽然我知道 md5() 可能不是最强大的加密方式,但任何始终产生相同结果的东西都可以进行逆向工程。
那么用 md5() 或任何其他方法加密某些东西有什么意义?
如果黑客获得使用 md5() 加密的密码,he would just use this page! .
现在真正的问题是:
我知道我还没有在这里发现一个巨大的网络漏洞! :) 我只是想了解密码加密背后的逻辑。
我确定我理解错了,如果你能帮助我纠正我的想法和其他人(我希望)的想法,我将不胜感激。
您必须如何应用密码加密才能真正发挥作用?
正如我所说,我可能/我的整个想法都是错误的,但是,这种方法会为真实环境增加安全性吗?
$reenc = array(
"h38an",
"n28nu",
"fw08d"
);
$pass = "Trufa";
$enc = chunk_split(md5($pass),5,$reenc[mt_rand(0,count($reenc)-1)]);
echo $enc;
如您所见,我随机添加了任意字符串 ($reenc = array()) 到我的 md5() 密码“使其独一无二”。这当然只是一个愚蠢的例子。
我可能是错的,但除非你“自己植入加密”,否则它总是很容易逆转的。
以上是我对“密码保护”和加密密码的想法,如果黑客得到它,他将无法解密,除非他能够访问原始 .php
我知道这甚至可能没有意义,但我不明白为什么这是个坏主意!
我希望我已经说得够清楚了,但这是一个很长的问题,所以请询问任何需要的澄清!
提前致谢!
最佳答案
你应该有一个 encryption 像 md5 或 sha512。您还应该有两种不同的盐,一个 static salt(由您编写),然后还有一个用于该特定密码的 unique salt。
一些示例代码(例如registration.php):
$unique_salt = hash('md5', microtime());
$password = hash('md5', $_POST['password'].'raNdoMStAticSaltHere'.$unique_salt);
现在您有一个 static salt,它对您的所有密码都有效,它存储在 .php 文件中。然后,在注册执行时,您会为该特定密码生成一个唯一哈希。
这一切都结束了:两个拼写完全相同的密码,将有两个不同的哈希。 unique hash 与当前 id 一起存储在 database 中。如果有人抓取了 database,他们将拥有每个特定密码的每个 unique salt。但是他们没有的是你的static salt,这让每个“黑客”的工作变得更加困难。
这是您在 login.php 上检查密码有效性的方法,例如:
$user = //random username;
$querysalt = mysql_query("SELECT salt FROM password WHERE username='$user'");
while($salt = mysql_fetch_array($querysalt)) {
$password = hash('md5',
$_POST['userpassword'].'raNdoMStAticSaltHere'.$salt[salt]);
}
这是我过去使用的。它非常强大且安全。我自己更喜欢 sha512 加密。实际上只是把它放在哈希函数中,而不是我的例子中的 md5 。
如果您想更加安全,可以将 unique salt 存储在完全不同的数据库中。
关于php - md5() 有什么用?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/4388908/
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我有一个模型:classItem项目有一个属性“商店”基于存储的值,我希望Item对象对特定方法具有不同的行为。Rails中是否有针对此的通用设计模式?如果方法中没有大的if-else语句,这是如何干净利落地完成的? 最佳答案 通常通过Single-TableInheritance. 关于ruby-on-rails-Rails-子类化模型的设计模式是什么?,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.co
我正在使用的第三方API的文档状态:"[O]urAPIonlyacceptspaddedBase64encodedstrings."什么是“填充的Base64编码字符串”以及如何在Ruby中生成它们。下面的代码是我第一次尝试创建转换为Base64的JSON格式数据。xa=Base64.encode64(a.to_json) 最佳答案 他们说的padding其实就是Base64本身的一部分。它是末尾的“=”和“==”。Base64将3个字节的数据包编码为4个编码字符。所以如果你的输入数据有长度n和n%3=1=>"=="末尾用于填充n%
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
为什么4.1%2返回0.0999999999999996?但是4.2%2==0.2。 最佳答案 参见此处:WhatEveryProgrammerShouldKnowAboutFloating-PointArithmetic实数是无限的。计算机使用的位数有限(今天是32位、64位)。因此计算机进行的浮点运算不能代表所有的实数。0.1是这些数字之一。请注意,这不是与Ruby相关的问题,而是与所有编程语言相关的问题,因为它来自计算机表示实数的方式。 关于ruby-为什么4.1%2使用Ruby返
它不等于主线程的binding,这个toplevel作用域是什么?此作用域与主线程中的binding有何不同?>ruby-e'putsTOPLEVEL_BINDING===binding'false 最佳答案 事实是,TOPLEVEL_BINDING始终引用Binding的预定义全局实例,而Kernel#binding创建的新实例>Binding每次封装当前执行上下文。在顶层,它们都包含相同的绑定(bind),但它们不是同一个对象,您无法使用==或===测试它们的绑定(bind)相等性。putsTOPLEVEL_BINDINGput
我可以得到Infinity和NaNn=9.0/0#=>Infinityn.class#=>Floatm=0/0.0#=>NaNm.class#=>Float但是当我想直接访问Infinity或NaN时:Infinity#=>uninitializedconstantInfinity(NameError)NaN#=>uninitializedconstantNaN(NameError)什么是Infinity和NaN?它们是对象、关键字还是其他东西? 最佳答案 您看到打印为Infinity和NaN的只是Float类的两个特殊实例的字符串
如果您尝试在Ruby中的nil对象上调用方法,则会出现NoMethodError异常并显示消息:"undefinedmethod‘...’fornil:NilClass"然而,有一个tryRails中的方法,如果它被发送到一个nil对象,它只返回nil:require'rubygems'require'active_support/all'nil.try(:nonexisting_method)#noNoMethodErrorexceptionanymore那么try如何在内部工作以防止该异常? 最佳答案 像Ruby中的所有其他对象
关闭。这个问题需要detailsorclarity.它目前不接受答案。想改进这个问题吗?通过editingthispost添加细节并澄清问题.关闭8年前。Improvethisquestion为什么SecureRandom.uuid创建一个唯一的字符串?SecureRandom.uuid#=>"35cb4e30-54e1-49f9-b5ce-4134799eb2c0"SecureRandom.uuid方法创建的字符串从不重复?
我刚刚被困在这个问题上一段时间了。以这个基地为例:moduleTopclassTestendmoduleFooendend稍后,我可以通过这样做在Foo中定义扩展Test的类:moduleTopmoduleFooclassSomeTest但是,如果我尝试通过使用::指定模块来最小化缩进:moduleTop::FooclassFailure这失败了:NameError:uninitializedconstantTop::Foo::Test这是一个错误,还是仅仅是Ruby解析变量名的方式的逻辑结果? 最佳答案 Isthisabug,or