1

我正在开发一个连接到用户 MSSQL 数据库以收集信息的网站。用户被分配到不同的 MSSQL 数据库帐户,并使用存储在 MySQL DB 中的 IP、用户名和密码连接到它们。

目前,我所拥有的是 PHP,AES 根据需要对密码进行加密/解密。这似乎不对。它可以防止您通过查看数据库来查看纯文本密码(这无疑是好的),但我并没有出售它的安全级别。

如果您再也不需要密码,那么哈希非常好,但我需要。所以我真的不知道如何在网站的这个特定方面实施合理的安全级别。

任何建议都会很棒。我是不是完全错了,是个白痴。有没有一种非常优越的方法来做到这一点?

4

1 回答 1

1

显然,如果您将密码发送到 MS SQL,您将需要能够反转该值。我认为加密将是这里最正确的答案。无论哪种方式,您的代码仍然能够推断此密码,否则您将无法连接。

如果您想提高安全性,您可以使用根据用户名计算的校验和来为您​​的加密提供种子……但是,如果用户名发生更改,您将需要解密并重新加密。这只会让可能知道您正在使用 AES 的“其他人”变得更加困难。

但归根结底,您将始终能够知道密码是什么,因为您需要解密。在这种情况下你能做的只有这么多,最好的办法是在每次需要密码时都向用户索要密码。

于 2012-05-03T19:57:32.800 回答