小弟需要写一个用户登录的模块,现在已经完成了...但是由于密码是明文存在数据库的,现在需要改为md5 加密,然后登录,希望给为前辈给点指导,最好是有源码的,谢谢。
(关于为什么用md5,之前也了解过一点,登录加密的用这最好。如果你们有更好的加密方式,也欢迎提出来)。
伊谢尔伦2017-04-17 14:47:14
$salt = sha1(uniqid(mt_rand(), true));
$pwd_db = sha1($salt.sha1($pwd_user));$salt是用戶註冊時產生一個隨機鹽值.
$pwd_db是資料庫保存的加鹽的密碼雜湊.
$salt和$pwd_db都存到用戶表中.
其中:
uniqid取得一個帶前綴(mt_rand),末尾帶熵(true),基於當前時間微秒數的唯一編號.
mt_rand用於產生更好的隨機數.
sha1產生的字符串的長度是40位元,欄位型別可以設為char(40).
黄舟2017-04-17 14:47:14
加上salt
現在主流的用戶密碼加密都要加salt, 因為md5的rainbow table已經包括絕大多數11位一下的"弱密碼"了.
而且隨著多個大型網站的資料外洩. md5被爆破的風險更大了. 甚者可以用md5的hash來找到一個人的常用網站.
偽代碼:
md5(password + salt)
PHP中文网2017-04-17 14:47:14
就像 savokiss 所述的md5(md5(password)+salt) 已經是比較好的方案了。
要更高安全性可以考慮 Bcrypt 之類的。
鹽最好不要只是重複的字串,用 id, username, timestamp 等都不錯。
黄舟2017-04-17 14:47:14
dz裡用的:
md5(md5(password)+salt)salt就是鹽,可以全域一樣也可以每個使用者唯一,是資料庫裡的一個欄位
md5不可逆,但可以字典窮舉,所以單層md5窮舉破解很容易,而加了鹽只知道你加密後的密碼不知道鹽也沒用咯
其他加密方式可以看下破解md5的那個網站,網站名稱就不說了