目前我正在开发连接到 MySQL 数据库以检索和存储数据的软件。软件本身运行正常,但我想实现一些新的安全功能。
这些安全功能之一是将数据库用户的密码存储为哈希而不是纯文本。为了记录,我不是使用表来验证用户,我说的是数据库用户连接到数据库本身。
我目前正在使用一个 MySQL 连接字符串,它以纯文本形式发送密码:
public abstract Database()
{
ReadConfig();
connectionstring = "SERVER=" + server + ";" +
"DATABASE=" + database + ";" +
"UID=" + username + ";" +
"PASSWORD=" + password + ";";
try
{
connection = new MySqlConnection(connectionstring);
}
catch (MySqlException ex)
{
LogService.Log("ERROR - " + ex.ToString());
}
}
我还将这些数据存储在用户的计算机上,因此用户可以更改服务器地址、数据库、用户名和密码。正如我所说,这是以纯文本形式存储的。以纯文本形式存储的服务器地址、数据库名称和用户名对我来说很好,但我不想以纯文本形式存储密码。
生成 SHA1 散列(或其他散列方法)不是问题,因为我已经有了生成这些散列的方法。
简而言之,我想将密码保存为哈希,并在连接字符串中使用该哈希。我该如何实施?
编辑:我知道这是一个“通过默默无闻的安全”解决方案,它不是扩展我的软件安全性的最佳方式。我正在研究如何使用挑战-响应方法,但同时我想实现上述方法。