0

我正在尝试拓宽我对 SQL 和 PHP 的了解,因此我正在尝试弄清楚如何在我正在处理的项目中为用户凭据创建散列数据库条目。现在在规划阶段,我将所有内容存储到会话 cookie 中,但在最终产品中,我希望将所有内容存储在我的服务器上。我有一些关于加盐/散列字符串的文档,但我不确定如何存储然后检查存储的散列是否正确。

<?php
    $username = $_GET["$us"];
    $password = $_GET["$pa"];
    $expire = time()+60*60*24*14; //Cookies expire in two weeks
    setcookie("username", $username, $expire);
    setcookie("password", $password, $expire);
?>

现在我有一个登录页面,使用上面的代码将 $us 和 $pa 发布到 login-submit.php 页面。如果我使用 md5 或类似方法对其进行哈希处理,我将如何将其存储在我的数据库中,当从登录页面拉出时,检查密码是否正确?我在想:

<?php
    $userhash = md5($us);
    $passhash = md5($pa);
    $rows = $db->query("
        INSERT INTO credentials
        VALUES ($passhash, $userhash);"
    );
?>

这一切都好吗?顺便说一句,我将如何检查数据库中是否存在用户,如果存在,将 md5 哈希反转回纯文本以便我可以使用它?

4

4 回答 4

2

  1. 不要使用cookies。使用会话。(会话自动将内容存储在服务器上,只需使用 cookie 来检索它)。

  2. 其次,MD5 对密码不安全。它有碰撞,很容易受到暴力攻击。请参阅此问题的第一个答案:如何安全地存储用户的密码?

于 2013-01-01T20:28:16.097 回答
2

它们不使用 cookie,而是使用会话,它们将数据存储在服务器端。对于密码加密,请使用使用crypt()的非常安全的河豚算法。

于 2013-01-01T21:34:32.363 回答
2

这可能是我发现散列密码的最佳脚本。所有好的用户站点都应该首先从登录脚本开始,而不是稍后。

散列密码

我用它来创建一个类来准备数据库插入的密码,它工作得很好。

这是课程:

    <?php
/**
* User Login Class
*
* LICENSE:      (http://www.gnu.org/licenses/old-licenses/gpl-2.0.html GNU Public License version 2)
*
* COPYRIGHT:    Finley Designs
* CONTACT:      ffrinfo@yahoo.com
* DESIGNED BY:  Roy Finley
* VERSION:  1.0
* Password hashing with PBKDF2.
* This class uses the pdkdf2 functions designed by : havoc AT defuse.ca : www: https://defuse.ca/php-pbkdf2.htm
* 
*/
class PasswordProcessor
{
//CREATE HASH FROM USER PASSWORD FOR NEW USER OR LOST PASSWORD
public function create_hash($password)
{
    // format: algorithm:iterations:salt:hash
    $salt = base64_encode(mcrypt_create_iv(24, MCRYPT_DEV_URANDOM));
    return  "sha256:1000:" .  $salt . ":" . 
        base64_encode($this->pbkdf2(
            "sha256",
            $password,
            $salt,
            1000,
            24,
            true
        ));
}
//VALIDATE USER PASSWORD
public function validate_password($password, $good_hash)
{
    $params = explode(":", $good_hash);
    if(count($params) < 4)
       return false; 
    $pbkdf2 = base64_decode($params[3]);
    return $this->slow_equals(
        $pbkdf2,
        $this->pbkdf2(
            $params[0],
            $password,
            $params[2],
            (int)$params[1],
            strlen($pbkdf2),
            true
        )
    );
}

// COMPARE TWO STRINGS IN LENGTH-CONSTANT TIME.
private function slow_equals($a, $b)
{
    $diff = strlen($a) ^ strlen($b);
    for($i = 0; $i < strlen($a) && $i < strlen($b); $i++)
    {
        $diff |= ord($a[$i]) ^ ord($b[$i]);
    }
    return $diff === 0; 
}
//HASHING ALGORITHM
private function pbkdf2($algorithm, $password, $salt, $count, $key_length, $raw_output = false)
{
    $algorithm = strtolower($algorithm);
    if(!in_array($algorithm, hash_algos(), true))
        die('PBKDF2 ERROR: Invalid hash algorithm.');
    if($count <= 0 || $key_length <= 0)
        die('PBKDF2 ERROR: Invalid parameters.');

    $hash_length = strlen(hash($algorithm, "", true));
    $block_count = ceil($key_length / $hash_length);

    $output = "";
    for($i = 1; $i <= $block_count; $i++) {
        // $i encoded as 4 bytes, big endian.
        $last = $salt . pack("N", $i);
        // first iteration
        $last = $xorsum = hash_hmac($algorithm, $last, $password, true);
        // perform the other $count - 1 iterations
        for ($j = 1; $j < $count; $j++) {
            $xorsum ^= ($last = hash_hmac($algorithm, $last, $password, true));
        }
        $output .= $xorsum;
    }

    if($raw_output)
        return substr($output, 0, $key_length);
    else
        return bin2hex(substr($output, 0, $key_length));
}
}//CLOSE PasswordProcessor CLASS
?>

请记住,这是验证您的用户的一小部分.....搜索谷歌并阅读,阅读,阅读 其他要点

  • 您的数据库需要两个用户 - 一个只能读取用于登录,另一个可以读取和写入用于注册脚本。

  • 在注册表单上使用验证码

  • 永远不要告诉用户登录的哪个部分失败了,只是它确实失败了。

于 2013-01-01T21:36:12.993 回答
1

将输入的 (password+salt) 的哈希值与存储的 (password+salt) 的哈希值进行比较。您还需要将盐存储在数据库中。

编辑:不需要散列用户名。您将无法从哈希中提取它。但是,您可以对其进行加密。

于 2013-01-01T20:28:02.027 回答