0

我正在尝试编写一个 Web 应用程序,允许登录用户将不同应用程序的密码存储到 MySQL 数据库中。但是为了防止 MySQL 管理员直接从数据库中读取这些密码,我想让这些密码在发送到数据库之前不可读。然后,当用户希望查看他存储的密码时,Web 应用程序会解密存储的密码并将其显示在屏幕上。

我正在尝试制定一种加密这些密码以存储在数据库中的方法,然后在从数据库中读取它们时对其进行解密。

因此,例如: - 用户希望存储一个新密码:Abc123!- Web 应用程序然后将给定的密码转换为“乱码”:234fohj234]j8924](或类似的东西)并将其存储到数据库中。- 当用户打开 Web 应用程序查看他存储的密码时,他会看到正确的密码:Abc123!- 但是当 MySQL 管理员使用 PHPMyAdmin 之类的程序来查看/维护数据库时,他只会看到“乱码”密码,而不是真实密码。

PHP(或 MySQL)是否为这样的东西提供内置函数?或者有没有人有关于创建一个函数来完成这个的任何提示?

4

1 回答 1

0

PHP 提供了 MCrypt 库来使用双向加密。最大的问题是在哪里存储密钥,但这是另一个问题。您可以提供的最佳保护是,您根本不存储密钥(用于加密),并让用户在每次使用您的服务时输入密钥。缺点是,以这种方式无法实现忘记密码功能。

注意不要使用 ECB 模式进行加密,相同的密码总是会产生相同的密文,而是使用具有随机 IV 向量的另一种模式。由于 PHP 手册中有使用 ECB 模式的示例,因此我添加了一个小示例,该示例使用 IV 向量并将其存储在结果中。

/**
 * Encrypts data with the TWOFISH algorithm. The IV vector will be
 * included in the resulting binary string.
 * @param string $data Data to encrypt. Trailing \0 characters will get lost.
 * @param string $key This key will be used to encrypt the data. The key
 *   will be hashed to a binary representation before it is used.
 * @return string Returns the encrypted data in form of a binary string.
 */
function encryptTwofish($data, $key)
{
  if (!defined('MCRYPT_DEV_URANDOM')) throw new Exception('The MCRYPT_DEV_URANDOM source is required (PHP 5.3).');
  if (!defined('MCRYPT_TWOFISH')) throw new Exception('The MCRYPT_TWOFISH algorithm is required (PHP 5.3).');

  // The cbc mode is preferable over the ecb mode
  $td = mcrypt_module_open(MCRYPT_TWOFISH, '', MCRYPT_MODE_CBC, '');

  // Twofish accepts a key of 32 bytes. Because usually longer strings
  // with only readable characters are passed, we build a binary string.
  $binaryKey = hash('sha256', $key, true);

  // Create initialization vector of 16 bytes
  $iv = mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_DEV_URANDOM);

  mcrypt_generic_init($td, $binaryKey, $iv);
  $encryptedData = mcrypt_generic($td, $data);
  mcrypt_generic_deinit($td);
  mcrypt_module_close($td);

  // Combine iv and encrypted text
  return $iv . $encryptedData;
}

/**
 * Decrypts data, formerly encrypted with @see encryptTwofish.
 * @param string $encryptedData Binary string with encrypted data.
 * @param string $key This key will be used to decrypt the data.
 * @return string Returns the original decrypted data.
 */
function decryptTwofish($encryptedData, $key)
{
  if (!defined('MCRYPT_TWOFISH')) throw new Exception('The MCRYPT_TWOFISH algorithm is required (PHP 5.3).');

  $td = mcrypt_module_open(MCRYPT_TWOFISH, '', MCRYPT_MODE_CBC, '');

  // Extract initialization vector from encrypted data
  $ivSize = mcrypt_enc_get_iv_size($td);
  $iv = substr($encryptedData, 0, $ivSize);
  $encryptedData = substr($encryptedData, $ivSize);

  $binaryKey = hash('sha256', $key, true);

  mcrypt_generic_init($td, $binaryKey, $iv);
  $decryptedData = mdecrypt_generic($td, $encryptedData);
  mcrypt_generic_deinit($td);
  mcrypt_module_close($td);

  // Original data was padded with 0-characters to block-size
  return rtrim($decryptedData, "\0");
}
于 2013-09-30T15:19:11.470 回答