0

可能重复:
PHP 密码的安全哈希和盐

我正在为我的网站编写一个 PHP 脚本,它自己的网站已经启动并正在运行。我遇到的问题是网站上的注册是纯文本密码。显然,这是非常弱的安全性。我希望有人可以帮我转换它,以便我可以使用哈希密码。我已经包含了我认为重要的部分注册码。我没有在页面上包含所有代码,因为我认为它不相关,但如果有人认为它会有所帮助,我会提供。

require 'include.inc';
if ($signup) {

if ($signup[repassword] != $signup[password]) {
    $err_msg = "Your passwords do not match.";
error($err_msg);
}

if(!preg_match("^[_\.0-9a-z-]+$/i^", $str)) {
$msg = 'Invalid Username! Usernames can consist of letters and numbers only';
}
if(!preg_match("^[_\.0-9a-z-]+$^",$signup[password])) {
   $err_msg = "Invalid Password!  Passwords can consist of letters and numbers   only.";
}
  if(!$signup[password] || !$signup[username] || !$signup[email] || !$signup[username])
        $err_msg = "Oops! You forgot some important fields!";


  if (!$err_msg) {
$usercheck = @mysql_query("INSERT INTO user values(
    'NULL','$signup[fname]','$signup[lname]',
    '$signup[username]','$signup[password]','$signup[email]', 1, ".$pointInc.",     '$signup[referral]', NOW(), 'n', 'y')");

      // done, you are entered correctly, Now Enter the points and URL info


        $sql = "Select id from user where username='$signup[username]'";

    $result = mysql_query( $sql );
        if ( $result != false )
            {
        while ( $data = mysql_fetch_assoc( $result ) )
        {
            $point_set = $data['id'];

            }
        } else {
            echo mysql_error();
        }   
    // add rerral points

if ($signup[referral])  {
  $referralSql="UPDATE points SET points=points+ ".$refPoints . " WHERE     userid=".$signup[referral];
  $result = mysql_query( $referralSql );
                if ( $result != false )
                    {
                } else {
                    echo mysql_error();
                    }
    }                           


// add URL  

$sql="INSERT INTO url_table ( userid, website, active, datechanged) VALUES ($point_set,'".$signup[site_url]."','n', '".date("Ymd")."')";

  $result = mysql_query( $sql );
                if ( $result != false )
                    {
                } else {
                    echo mysql_error();
                }
// add points
    $sql="INSERT INTO points (userid, username, points) VALUES ($point_set,'     ',$signPoints)";
  $result = mysql_query( $sql );
                if ( $result != false )
                    {
                } else {
                    echo mysql_error();
                    }
    }
     echo mysql_errno().": ".mysql_error()."<br>";





            if (!$usercheck) {
       $err_msg = "Database error:<br>There was an error entering your account.<br>It is possible that username or Email already exists, please try another one.<br>";
         }   else {
            include ("reg.php"); 
            exit;
            }
     }
     if (!$err_msg) {
        // done, you are entered correctly



     }
   pageHeader($title, $bgColor, $styleSheet);
?>
4

5 回答 5

2

基本原理很简单:

1. 用户注册时,不要存储明文密码,而是hash(password).

$query = $pdoObject->prepare('INSERT INTO users (UserName, Password) VALUES (:u, :p)');
$query->bindParam(':u', $_POST['username']);
$query->bindParam(':p', hash($_POST['password']));
// Note that we don't store the password, we store the hash of the password. Once this script is done executing, no one involved in the website (except for the original user) will know that the password is
$query->execute();

2. 当用户尝试登录时,使用存储在用户数据库中的哈希计算输入密码的哈希。如果两个哈希值匹配,则密码正确。

$query = $pdoObject->prepare('SELECT * FROM users WHERE UserName = :u AND Password = :p');
$query->bindParam(':u', $_POST['username']);
$query->bindParam(':p', hash($_POST['password']));
// We locate the original user by searching for the hash of the password that they typed in

理论就这么多了。您应该考虑的一些实际问题:

  1. 许多教程建议使用 SHA1 的 MD5 作为哈希函数。但是,这些并不安全。检查PHP 哈希库(尤其是hash()函数)以获取可用的哈希算法。
  2. 您还应该考虑使用加盐密码。对于每个注册用户,创建一个随机字符串(),将此字符串与用户密码连接,然后对密码和盐进行哈希处理(盐也需要保存,因为在验证用户时再次需要它)。
  3. 您可以使用PDO使您的 SQL 更加安全。这将保护您免受称为SQL Injection. 如果您不这样做,那么用户将能够通过输入撇号 ( ') 等字符来破坏您的网站。
于 2013-01-23T13:36:12.400 回答
0

您可以使用 md5 函数为您的密码创建哈希,例如:

$password = '12345';
$password = md5($password);

您将此哈希保存在数据库中,当您检查登录用户和密码时,您将执行此操作

$post['password'] = md5($post['password']);

并检查是否等于保存在数据库中的哈希值。我知道 md5 不是最好的哈希,但它很简单并且具有很好的安全性

于 2013-01-23T13:35:45.293 回答
0

用于crypt散列密码。

于 2013-01-23T13:41:24.123 回答
-1

有些意见不认为 md5 或 SHA-1 易碎,试着给它们加盐.. 搜索一下。

于 2013-01-23T14:35:49.473 回答
-1

为http://php.net/manual/en/function.md5.php使用 md5

还要查 uniqid http://php.net/manual/en/function.uniqid.php

将密码以纯文本形式存储在数据库中始终是一种不好的做法。检查另一个问题: 使用 PhP 加密存储在 MySql 中的密码的最佳做法是什么?

于 2013-01-23T13:37:34.050 回答