我正在开发一个连接到用户MSSQL数据库以收集信息的网站。用户被分配到不同的MSSQL数据库帐户,并使用MySQL DB中存储的IP,用户名和密码连接到它们。
目前,我所拥有的是PHP,AES根据需要加密/解密密码。这似乎不对。它通过查看数据库(这无疑是好的)来阻止您查看纯文本密码,但我没有以其安全级别出售。
如果您再也不需要密码,那么Hashing很棒,但是我知道。所以我真的不知道如何在网站的这个特定方面实现合理的安全级别。
任何建议都会很棒。我完全错了,是个白痴。有这么好的方法吗?
答案 0 :(得分:1)
显然,如果要将密码发送到MS SQL,则需要能够反转该值。我认为加密将是最正确的答案。无论哪种方式,您的代码仍然可以推断此密码,否则您无法连接。
如果您想提高安全性,可以使用根据用户名计算的校验和来加密加密......但是,如果用户名发生变化,则需要解密并重新加密。这只会让那些可能知道你正在使用AES的“其他人”变得更加困难。
但是在一天结束时,您将始终能够知道密码是什么,因为您需要解密。在这种情况下,您只能做很多事情,最好是每次需要时都要求用户输入密码。