您對這個登錄程序有什麼看法?它很安全嗎?php安全登錄
當他們登錄我首先檢查用戶名存在,如果它確實我抓住從用戶的鹽(每個用戶都有獨特的鹽),我重新哈希與貼出的密碼
$pass = hash('sha256', $salt . $posted_password);
然後我只是與
$check = mysql_query("SELECT * FROM users WHERE username = '".$username."' AND password = '".$pass."'") or die("MySQL Error: ".mysql_error());
我不明白額外散列密碼在這種情況下提高安全性,謹慎詳細說明?我很好奇。 –
它有助於防止數據庫服務器被黑客攻擊,並且數據泄漏,在這種情況下,所有破解者將得到的是哈希密碼,這對他們來說是沒有實際用處的......(除此之外規則,適用,使用彩虹攻擊等) –