由CSDN泄密想到的:MySQL数据库验证过程的改进、密码存储及验证方-mysql教程-PHP中文網

首頁

資料庫

mysql教程

由CSDN泄密想到的:MySQL数据库验证过程的改进、密码存储及验证方

WBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWBOYWB

Jun 07, 2016 pm 04:33 PM

mysql改進資料庫洩密過程驗證

这几天CSDN数据库明文密码泄密闹得满城风雨，人人自危。大家开始关注网络安全和隐私问题。由这次的问题，对加密验证过程我也思考过，有没有一套相对安全的存储和验证方法？这里我根据各种验证方法，确实总结了一套可行且相对安全的存储和验证方法，且看我细

这几天CSDN数据库明文密码泄密闹得满城风雨，人人自危。大家开始关注网络安全和隐私问题。由这次的问题，对加密验证过程我也思考过，有没有一套相对安全的存储和验证方法？这里我根据各种验证方法，确实总结了一套可行且相对安全的存储和验证方法，且看我细细道来，最后提出MySQL当前验证方法的改进。– by 谭俊青

一个系统对用户请求的合法性验证都是通过sessionid来判断的，这个层面的攻击和破解这里不涉及，我们只关心在session建立前的验证过程。密码存储的方式和验证方法大致可以归结为以下几种：

密码明文存储。比如CSDN的做法，用户登陆系统的时候直接提交明文密码，跟数据库中保存的密码进行比较，如果一直，验证通过，建立session。这时最简单，也是最傻的一种做法，所以导致了这次的泄密。对于密码一致的用户已经体会到了它的危害严重性。
密码加密存储。对用户密码进行加密存储，登陆验证的过程跟上面的验证过程类似，只是对密码进行了加密，或者对存储的密文进行了解密，然后验证。这种方法稍微提高了一定的安全性，但是还远远不够，没有从根本上解决问题，因为如果黑客拿到了密文，然后破解加密算法，可以解密所有的密文，获得所有用户的明文密码，还会导致像今天CSDN这样的局面。
密码单向hash存储。这个应该说在根本上解决了问题所在。比如存储md5(password),sha1(password)，验证时只需要比较用户输入的密码的hash值跟存储的是否一致即可验证。当然这里问题又来了因为有人会提出md5破解的问题，破解碰撞的概率现在还是相当低的，比中5亿彩票大奖的概率要低得多。但是现在有很多现有的密码字典，并且已经生成了hash值，值需要比较hash值，即可获得等价的登陆密码。因此我们对这个方法进行改进，得出下面的方法。
密码还是hash存储，不过是采用hash(hash(passwordd)+salt)的方式。这里salt可以在注册是随机生成，也可以取巧用用户名，这样可以在验证的过程增加随机串，而不用将salt输出止客户端。

对第4种方法进行变种，可以得到很多验证方法，都相对安全可靠得多，但是都存在一个问题，这个问题在mysql4.1之前的版本也存在着，就是如果有人得到存储的hash值，即可以模拟登陆，并验证通过。

现在我们回到MySQL密码的存储和验证过程。在4.1之前，mysql的验证方法相对简单，方法如下：

首先server给client发送一个随机串
client将用户输入的password的hash值对随机串进行加密，并将加密串发送给server
server用存储在user表中的password hash串对之前发送给client的随机串进行加密，生成加密串
server对接收道的加密串和生成的加密串进行比较，如果一致，验证通过。

这样的验证方法看似比较安全可靠，即使你监听网络也不会获得password或者其hash值。但是如果有人通过其他途径，获得了password的hash值，那么就可以模拟登陆系统，因此我们需要对验证过程进行改进。下面介绍mysql4.1之后的密码存储和登陆验证过程：

server存储mysql.user.Password =?sha1(sha1(password))
server 发送随机串random_string至client
client 计算
- stage1_hash ?= sha1(password) –password为用户输入的明文密码
- token = sha1( random_string + sha1(stage1_hash)) xor stage1_hash
client 将 token 发送给server
server 计算
- stage1_hash_2 = token xor sha1( random_string + mysql.user.Password)
sever 比较 sha1(stage1_hash_2) 跟 mysql.user.Password 即可验证

这个验证过程看似复杂，其实整个过程就是为了保证 sha1(password)不被监听到，用随机串进行了干扰。至此我们的密码存储方式和验证方法的安全性都得到了极大的提升。当然我们发现mysql 4.1之后的密码存储还是有点小问题，没有加salt，因此存在一定的风险，可以建议官方版本改进，比如将 salt 用用户名代替，整个验证过程几乎不用大的改动。

Golang 实现的 mysql-proxy
Gearman
Handler-Socket Plugin for MySQL – SQL的功能、NoSQL的性能
NoSQL到MySQL+Memcache(d)重树MySQL王者地位
A new MySQL proxy written in Go — LegendBase Proxy for MySQL

? 谭俊青发布在 MySQL性能、MySQL Cluster集群、MySQL HA高可用等研究 - MySQL实验室, 2011.
可以任意转载, 但转载时务必以超链接形式标明文章原始出处和作者信息。
链接: http://www.mysqlab.net/blog/2011/12/由csdn泄密想到的《mysql数据库验证过程的改进》/

标签:

陳述

本文內容由網友自願投稿，版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容，請聯絡admin@php.cn

MySQL中的存儲過程是什麼？May 01, 2025 am 12:27 AM

存儲過程是MySQL中的預編譯SQL語句集合，用於提高性能和簡化複雜操作。 1.提高性能：首次編譯後，後續調用無需重新編譯。 2.提高安全性：通過權限控制限制數據表訪問。 3.簡化複雜操作：將多條SQL語句組合，簡化應用層邏輯。

查詢緩存如何在MySQL中工作？May 01, 2025 am 12:26 AM

MySQL查詢緩存的工作原理是通過存儲SELECT查詢的結果，當相同查詢再次執行時，直接返回緩存結果。 1）查詢緩存提高數據庫讀取性能，通過哈希值查找緩存結果。 2）配置簡單，在MySQL配置文件中設置query_cache_type和query_cache_size。 3）使用SQL_NO_CACHE關鍵字可以禁用特定查詢的緩存。 4）在高頻更新環境中，查詢緩存可能導致性能瓶頸，需通過監控和調整參數優化使用。

與其他關係數據庫相比，使用MySQL的優點是什麼？May 01, 2025 am 12:18 AM

MySQL被廣泛應用於各種項目中的原因包括：1.高性能與可擴展性，支持多種存儲引擎；2.易於使用和維護，配置簡單且工具豐富；3.豐富的生態系統，吸引大量社區和第三方工具支持；4.跨平台支持，適用於多種操作系統。

您如何處理MySQL中的數據庫升級？Apr 30, 2025 am 12:28 AM

MySQL數據庫升級的步驟包括：1.備份數據庫，2.停止當前MySQL服務，3.安裝新版本MySQL，4.啟動新版本MySQL服務，5.恢復數據庫。升級過程需注意兼容性問題，並可使用高級工具如PerconaToolkit進行測試和優化。

您可以使用MySQL的不同備份策略是什麼？Apr 30, 2025 am 12:28 AM

MySQL備份策略包括邏輯備份、物理備份、增量備份、基於復制的備份和雲備份。 1.邏輯備份使用mysqldump導出數據庫結構和數據，適合小型數據庫和版本遷移。 2.物理備份通過複製數據文件，速度快且全面，但需數據庫一致性。 3.增量備份利用二進制日誌記錄變化，適用於大型數據庫。 4.基於復制的備份通過從服務器備份，減少對生產系統的影響。 5.雲備份如AmazonRDS提供自動化解決方案，但成本和控制需考慮。選擇策略時應考慮數據庫大小、停機容忍度、恢復時間和恢復點目標。

什麼是mySQL聚類？Apr 30, 2025 am 12:28 AM

MySQLclusteringenhancesdatabaserobustnessandscalabilitybydistributingdataacrossmultiplenodes.ItusestheNDBenginefordatareplicationandfaulttolerance,ensuringhighavailability.Setupinvolvesconfiguringmanagement,data,andSQLnodes,withcarefulmonitoringandpe

如何優化數據庫架構設計以在MySQL中的性能？Apr 30, 2025 am 12:27 AM

在MySQL中優化數據庫模式設計可通過以下步驟提升性能：1.索引優化：在常用查詢列上創建索引，平衡查詢和插入更新的開銷。 2.表結構優化：通過規範化或反規範化減少數據冗餘，提高訪問效率。 3.數據類型選擇：使用合適的數據類型，如INT替代VARCHAR，減少存儲空間。 4.分區和分錶：對於大數據量，使用分區和分錶分散數據，提升查詢和維護效率。

您如何優化MySQL性能？Apr 30, 2025 am 12:26 AM

tooptimizemysqlperformance，lofterTheSeSteps：1）inasemproperIndexingTospeedUpqueries，2）使用ExplaintplaintoAnalyzeandoptimizequeryPerformance，3）ActiveServerConfigurationStersLikeTlikeTlikeTlikeIkeLikeIkeIkeLikeIkeLikeIkeLikeIkeLikeNodb_buffer_pool_sizizeandmax_connections，4）

See all articles