在我的用戶密碼上丟失了我的md5和鹽加密

Question

我最近一直在用一個登錄名創建用戶管理站點，以編輯/更改站點的各個方面。我試圖做一個更改密碼頁面，所以用戶顯然能夠更改密碼，如果需要的話，我正在搞這個，並已完全搞砸了我的md5和鹽加密到我無法再登錄的點。

在我的密碼行數據庫中，我顯示了長字符的十六進制數（這與我輸入站點登錄的密碼相對應，md5函數改變了這個），我刪除了更長的密碼數據庫（因爲它不再工作）並放回到我的實際密碼中...因此我能夠再次登錄，但是沒有安全密碼...我不知道如何恢復安全性？

我的加密頁面仍然有效，但現在沒有用了......

<?php 

    function encrypt($password){ 
     $salt1="egf"; 
     $salt2="7yh"; 
     $password = md5($salt1 . $password . $salt2); 
     return $password; 
    } 

?> 

請幫幫忙，任何意見，將不勝感激！謝謝

Answer 1

讓我們看看你的代碼分段：

function encrypt($password){ // You're not encrypting here at all! 
    $salt1="egf"; // Not a salt 
    $salt2="7yh"; // Not a salt 
    $password = md5($salt1 . $password . $salt2); // MD5 is insecure 
    return $password; // Why set to variable then return? 
} 

好像你不理解some fundamental cryptography concepts。

• 加密是一個雙向過程;您不會對密碼進行加密，您可以使用密碼哈希函數對其進行哈希處理（例如scrypt，bcrypt，PBKDF2-SHA256）。
• MD5是一個糟糕的選擇;這是一個通用的密碼散列函數，不適用於密碼。
• 鹽必須是每個用戶唯一。有一個靜態的前綴和後綴更類似於辣椒，這是安全專家和許多（我自己包括）觀點辣椒作爲security through obscurity有爭議。

解決方案：使用password_hash()和password_verify()。它是由專家爲這個確切的用例設計的。

如果您的PHP版本比5.5.0舊，請升級。如果沒有，請向您的託管服務提供商投訴，然後使用password_compat。

不要推出自己的密碼存儲方案。