用於在數據庫中存儲登錄信息的方法

Question

將登錄信息存儲到數據庫中的最佳方式是什麼？我知道存儲平面文本密碼根本沒有建議。其他方法有哪些？ 如果使用密碼的哈希值，PHP中的哪些函數可用於存儲和驗證登錄信息？

我在Windows機器上使用PHP，MySQL，Apache服務器。

Answer 1

有此安全討論的兩個陣營：

1. 密碼不要保存在你的數據庫。這通常意味着利用OAuth或同等功能。您需要存儲唯一標識用戶的「令牌」。此「令牌」由您選擇的身份驗證服務提供。該服務還提供身份驗證。

2. 存儲密碼在數據庫中的散列（不可逆）轉換。然後，身份驗證過程將比較提供的pword的散列版本與數據庫中的散列版本。

根據您的安全考慮，應考慮複雜性。我認爲最小值應該是一個醃製的密碼實現。這通常是這樣的：

$hash = sha1(saltThePword($pword)); 

其中

function saltThePword($pword) 
{ 
    // combine the password with a salt. 
    // typically: 
    // $pword.$salt 
    // $salt can be static 
    // $salt can be unique to user (reproducible by a formula) 
} 

希望這有助於。

鮑勃

Answer 2

PHP給你md5(),sha1()，等等。一種典型的散列技術是爲你的明文密碼添加一個「鹽」，使其更難以暴力破解。

$pass = 'password'; 
$salt = 'aLongStringCalledASaltIsOftenUsedToMakeHashingMoreSecure'; 
$hash = sha1(md5($salt . $pass)); 

Answer 3

保存密碼，像串MD5（ '密碼'） 和當u會檢查用戶授權u使用查詢

$水庫=請求mysql_query（「SELECT ID，登錄名FROM用戶WHERE登錄='「。mysql_real_escape_string（$ login）。」'AND password ='「。md5（$ password）。」'「）;

Answer 4

我喜歡使用sha2作爲我的加密算法，還要確保你的鹽在安全的地方，而不是在名爲salt的列或表下的數據庫中。