我正在尝试扩展我对SQL和PHP的了解,因此我正在尝试弄清楚如何在我正在处理的项目上为用户凭据创建散列数据库条目。现在正处于计划阶段,我将所有内容存储到会话cookie中,但在最终产品中,我希望将所有内容存储在我的服务器上。我有一些关于salting / hashing字符串的文档,但我不知道如何存储然后检查存储的哈希是否正确。
<?php
$username = $_GET["$us"];
$password = $_GET["$pa"];
$expire = time()+60*60*24*14; //Cookies expire in two weeks
setcookie("username", $username, $expire);
setcookie("password", $password, $expire);
?>
现在我有一个登录页面将$ us和$ pa发布到带有上述代码的login-submit.php页面。如果我使用md5或类似方法对其进行散列,我将如何将其存储在我的数据库中,当从登录页面上拉时,检查密码是否正确?我在考虑:
<?php
$userhash = md5($us);
$passhash = md5($pa);
$rows = $db->query("
INSERT INTO credentials
VALUES ($passhash, $userhash);"
);
?>
这样可以吗?顺便说一句,我如何检查数据库中是否存在用户,如果是,请将md5哈希值反转回明文,以便我可以使用它?
答案 0 :(得分:2)
请勿使用Cookie。使用sessions。 (会话自动将内容存储在服务器上,只需使用cookie来检索它)。
其次,MD5对密码不安全。它有碰撞,很容易受到暴力攻击。请参阅此问题的第一个答案:How can I store my users' passwords safely?
答案 1 :(得分:2)
答案 2 :(得分:2)
这可能是我发现的散列密码的最佳脚本。所有优秀的用户站点应首先使用登录脚本,而不是稍后。
我用它来创建一个类来为数据库插入准备密码,它运行得很好。
这是班级:
<?php
/**
* User Login Class
*
* LICENSE: (http://www.gnu.org/licenses/old-licenses/gpl-2.0.html GNU Public License version 2)
*
* COPYRIGHT: Finley Designs
* CONTACT: ffrinfo@yahoo.com
* DESIGNED BY: Roy Finley
* VERSION: 1.0
* Password hashing with PBKDF2.
* This class uses the pdkdf2 functions designed by : havoc AT defuse.ca : www: https://defuse.ca/php-pbkdf2.htm
*
*/
class PasswordProcessor
{
//CREATE HASH FROM USER PASSWORD FOR NEW USER OR LOST PASSWORD
public function create_hash($password)
{
// format: algorithm:iterations:salt:hash
$salt = base64_encode(mcrypt_create_iv(24, MCRYPT_DEV_URANDOM));
return "sha256:1000:" . $salt . ":" .
base64_encode($this->pbkdf2(
"sha256",
$password,
$salt,
1000,
24,
true
));
}
//VALIDATE USER PASSWORD
public function validate_password($password, $good_hash)
{
$params = explode(":", $good_hash);
if(count($params) < 4)
return false;
$pbkdf2 = base64_decode($params[3]);
return $this->slow_equals(
$pbkdf2,
$this->pbkdf2(
$params[0],
$password,
$params[2],
(int)$params[1],
strlen($pbkdf2),
true
)
);
}
// COMPARE TWO STRINGS IN LENGTH-CONSTANT TIME.
private function slow_equals($a, $b)
{
$diff = strlen($a) ^ strlen($b);
for($i = 0; $i < strlen($a) && $i < strlen($b); $i++)
{
$diff |= ord($a[$i]) ^ ord($b[$i]);
}
return $diff === 0;
}
//HASHING ALGORITHM
private function pbkdf2($algorithm, $password, $salt, $count, $key_length, $raw_output = false)
{
$algorithm = strtolower($algorithm);
if(!in_array($algorithm, hash_algos(), true))
die('PBKDF2 ERROR: Invalid hash algorithm.');
if($count <= 0 || $key_length <= 0)
die('PBKDF2 ERROR: Invalid parameters.');
$hash_length = strlen(hash($algorithm, "", true));
$block_count = ceil($key_length / $hash_length);
$output = "";
for($i = 1; $i <= $block_count; $i++) {
// $i encoded as 4 bytes, big endian.
$last = $salt . pack("N", $i);
// first iteration
$last = $xorsum = hash_hmac($algorithm, $last, $password, true);
// perform the other $count - 1 iterations
for ($j = 1; $j < $count; $j++) {
$xorsum ^= ($last = hash_hmac($algorithm, $last, $password, true));
}
$output .= $xorsum;
}
if($raw_output)
return substr($output, 0, $key_length);
else
return bin2hex(substr($output, 0, $key_length));
}
}//CLOSE PasswordProcessor CLASS
?>
请记住,这只是验证用户身份的一小部分.....搜索谷歌和阅读,阅读,阅读 其他要点
您的数据库需要两个用户 - 一个只能登录和登录的用户 一个可以读写注册脚本的文件。
在登记表格上使用验证码
永远不会告诉用户登录失败的部分,只是确实如此。
答案 3 :(得分:1)
将输入的密码(密码+盐)与存储的(密码+盐)哈希值进行比较。您还需要将salt存储在数据库中。
编辑:没有必要对用户名进行哈希处理。您将无法从哈希中提取它。但是,您可以加密它。