我正在使用 PHP 和 XML 开发社交网络,但我不知道如何保护包含密码和内容的 xml 文件。我听说过有关哈希和盐的东西,但我对此一无所知。或者,我应该放弃使用 xml 而只使用 MySql 吗?
问问题
1620 次
2 回答
1
我个人会避免将密码存储在 XML 文件中,但是如果出于某种原因您不能更好地保护公共用户的安全,我会将它们存储在 Web 根目录之外,这样您就无法直接访问它们。您的脚本至少应该能够访问主目录。
我还会确保您的密码是使用某种加密方式存储的,这样如果有人确实访问了该文件,他们就不能只读取密码。
于 2012-09-07T02:35:44.540 回答
1
如果您正在谈论存储用户的凭据以访问您的站点,那么您将需要使用bcrypt积极地散列这些密码,以确保在发生违规时它们不会被轻易破解。
如果您正在谈论存储用于访问第三方服务的密码,并且您需要能够使用这些密码,那么您将需要使用可逆的方法(如 Blowfish)和某种私钥对它们进行加密。
在任何情况下都不应将密码存储在 XML 文件中。这些很容易获得,甚至可能通过您的网络服务器无意中暴露出来,并且任何人都可以通过访问特定的 URL 进行下载。
MySQL 是一个非常容易上手的数据库,所以它是一个不错的选择,而且如果你需要这样做,它的扩展性也很好。我会考虑mysqli为新应用程序使用或 PDO,并且有很多示例说明如何正确使用 SQL 与placeholders。
如果您正在构建一个完整的应用程序,您可能希望使用像CakePHP或CodeIgnighter这样的框架来为您提供构建基础。这些提供了许多低级应用程序支持,您需要构建您正在谈论的内容,从而在开发过程中为您节省大量时间。
于 2012-09-07T03:22:09.610 回答