1

我阅读了很多关于登录安全的信息,其中大部分是关于 Ajax 的。主要是我想通过 javascript 以纯文本形式传递密码和用户名,并在 php 中对其进行哈希处理。这样:JS纯文本> php哈希>数据库

在 Ajax 期间哈希两次呢?你认为它好吗?像这样:JS hash > php hash > 数据库

所以我不关心 Ajax 请求期间的黑客,当然服务器上的另一个散列会使其更安全,这是我发现的最好的散列方法之一。使用 JS 散列,我永远不会在服务器上收到真实密码,但是,我不需要真实密码,只需要一个散列来比较散列的密码。

使用 JS 散列更好,或者我可以只使用 php 散列?

4

2 回答 2

0

只要您使用 HTTPS 进行数据交换并且数据不敏感,php 散列应该没问题。

如果您只使用 HTTP,您将遇到“正常”的黑客问题,因此您可能想尝试 JS 散列。

于 2012-09-04T10:36:03.363 回答
0

这取决于您主要关心的是什么——只有当您期望有人可以监听客户端和服务器之间的通信时,JS 哈希才会有所帮助。但是,如果有人在注册时禁用 Javascript,然后在登录时启用它或只是转到另一台计算机,您将不知道数据库中的密码是否经过一次或两次散列。

于 2012-09-04T10:37:17.920 回答