在通过ajax发送并清理和验证php中的登录信息时,我真的很难与哈希密码混淆。
我应该在通过ajax发送密码之前对密码进行哈希处理吗?如果我在清理密码并验证哈希密码并在数据库中存储ajax提交的哈希密码的另一个哈希呢? 我知道散列一个javascript哈希密码在这里没有任何意义。
任何人都可以告诉我们通过ajax发送密码以及在php中进行消毒/验证的最佳做法。
答案 0 :(得分:0)
常见的方法是将密码作为纯文本发送到服务器(在您的情况下进行AJAX调用),然后在服务器中进行散列,然后在您访问数据库之前创建新用户以检查是否插入的密码是正确的。
答案 1 :(得分:0)
如果您没有在线上使用HTTPS,您可能希望在客户端上执行哈希只是为了让黑客更难以检索明文密码。当然,使用HTTP仍然是最好的。
还有一种称为安全远程密码的加密协议,旨在使字典攻击用户密码变得更加困难。但是,实现它需要一些工作。
http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol