1

对于 API 测试套件,我使用以下代码来加密保存用户密码:

$encryptionKey = sha1(microtime(true) . mt_rand(PHP_INT_MAX / 10, PHP_INT_MAX));
setcookie('key', $encryptionKey, 0);

$_SESSION['username'] = $_POST['username'];
$_SESSION['encryptedPassword'] = mcrypt_encrypt(MCRYPT_BLOWFISH, $encryptionKey, $_POST['password'], MCRYPT_MODE_ECB);

要检索密码,我使用以下代码:

$password = mcrypt_decrypt(MCRYPT_BLOWFISH, $_COOKIE['key'], $_SESSION['encryptedPassword'], MCRYPT_MODE_ECB);

似乎有时五个空字节会附加到存储的值中。因此,var_dump($password)返回以下内容:

string(8) "123"

var_export($password)返回以下内容:

'123' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . '' . "\0" . ''

请注意,我们看到三个字符,但var_dump()坚持认为有八个。现在我正在trim()解决这个问题,但我想知道如何解决这个问题。

谢谢你。

4

2 回答 2

1

大多数加密算法(包括这个)都适用于固定的块大小,通常为 8 个字节。所以在这种情况下实际编码的值 123\0\0\0\0\0(这实际上有点不寻常,许多加密算法使用填充大小作为填充 - 例如123\5\5\5\5\5

于 2013-08-20T10:12:46.720 回答
1

考虑将模式从ECB更改为更安全的模式,如CBC。要删除填充,您可以使用 rtrim($decryptedtext, "\0")。看例子。这是默认的 0 填充,如前所述,加密数据用 0 填充以匹配块的大小。您可以在加密之前添加 PKCS7 填充,您可以在此处找到示例。

于 2013-08-20T10:51:09.663 回答