如何使用mcrypt解密

时间:2012-06-06 12:59:32

标签: php security encryption mcrypt

我已经登录并注册了页面。但是我的密码还没有加密。人们告诉我这是一个坏主意,我应该加密他们。所以我一直在搜索如何加密和解密我的密码。我找到了一个关于如何加密我的密码的例子,但我不知道如何为我的登录页面再次解密它。这是我的加密代码:

$key = "some random security key";
$input = $password;

$td = mcrypt_module_open('tripledes', '', 'ecb', '');
$iv = mcrypt_create_iv (mcrypt_enc_get_iv_size($td), MCRYPT_RAND);
mcrypt_generic_init($td, $key, $iv);
$password = mcrypt_generic($td, $input);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);

所以我的问题是:有人可以告诉我需要解密我从上面的代码中得到的字符串的代码。

3 个答案:

答案 0 :(得分:5)

你可以加密和解密这样的东西:

//this is some config for a good security level of mcrypt
define('SAFETY_CIPHER', MCRYPT_RIJNDAEL_256);
define('SAFETY_MODE', MCRYPT_MODE_CFB);

//this has to be defined somewhere in the application.
define('APPLICATION_WIDE_PASSPHRASE', 'put-something-secure-here');
define('ENCRYPTION_DIVIDER_TOKEN', '$$');

//some "example" data as if provided by the user
$password = 'this-is-your-data-you-need-to-encrypt';

//this key is then cut to the maximum key length
$key = substr(md5(APPLICATION_WIDE_PASSPHRASE), 0, mcrypt_get_key_size(SAFETY_CIPHER, SAFETY_MODE));

//this is needed to initialize the mcrypt algorythm
$initVector = mcrypt_create_iv(mcrypt_get_iv_size(SAFETY_CIPHER, SAFETY_MODE), MCRYPT_RAND);

//encrypt the password
$encrypted = mcrypt_encrypt(SAFETY_CIPHER, $key, $password, SAFETY_MODE, $initVector);

//show it (store it in db in this form
echo base64_encode($initVector) . ENCRYPTION_DIVIDER_TOKEN . base64_encode($encrypted) . '<br/>';

//decrypt an show it again
echo mcrypt_decrypt(SAFETY_CIPHER, $key, $encrypted, SAFETY_MODE, $initVector) . '<br/>';

但如前所述,密码不应该从其哈希表示中恢复,所以不要为密码执行此操作!

答案 1 :(得分:0)

您不应该尝试解密密码只是压缩哈希密码。

顺便说一句,如果以正确的方式执行此操作,则无法恢复原始密码。您还应该添加一个所谓的salt来使密码更复杂。

答案 2 :(得分:0)

我看到你对它的运作方式有点困惑。阅读本文,您将了解加密,解密,散列及其在登录系统中的使用。 http://net.tutsplus.com/tutorials/php/understanding-hash-functions-and-keeping-passwords-safe/

基本上,您在注册时将密码散列为十六进制字符串并将其存储在数据库中。每次用户想要登录时,都会获取当前的i / p密码,将其哈希并将其存储在$ temp等变量中。

现在,您从服务器检索原始密码的哈希值,并简单地比较两个哈希值。

...如果它们相同则授予访问权限!

您不想继续加密和解密密码的原因如下:

  • 当传递给服务器时,用户输入的密码是明文 文字或可以轻易被盗/嗅探。
  • 服务器必须计算每次需要时解密存储在数据库中的密码的过程,而不是 哈希我们只是进行逻辑比较。
  • 如果包含加密算法的文件被数据库泄露,则所有密码都将以纯文本格式丢失。用户可以使用 在多个站点上使用相同的密码,威胁就会延长。