我编写了md5技术来将密码存储在哈希中,但我想用盐来实现它。
这是我的注册表单php和md5函数,它运行得很好。
<?php
require("common.php");
if (! empty ( $_POST )) {
if (empty ( $_POST ['username'] )) {
die ( "Please enter a username." );
}
if (empty ( $_POST ['password'] )) {
die ( "Please enter a password." );
}
$query = "SELECT 1 FROM User WHERE username = :username";
$query_params = array (
':username' => $_POST ['username']
);
try {
$stmt = $db->prepare ( $query );
$result = $stmt->execute ( $query_params );
} catch ( PDOException $ex ) {
die ( "Failed to run query: " . $ex->getMessage () );
}
$row = $stmt->fetch ();
if ($row) {
die ( "This user name is already registered" );
}
$password = md5($_POST['password']);
$query = "INSERT INTO User (username, password) VALUES (:username, :password)";
$query_params = array (
':username' => $_POST ['username'],
':password' => $password
);
try {
$stmt = $db->prepare ( $query );
$result = $stmt->execute ( $query_params );
} catch ( PDOException $ex ) {
die ( "Failed to run query: " . $ex->getMessage () );
}
header ( "Location: login.php" );
die ( "Redirecting to login.php" );
}
?>
答案 0 :(得分:1)
Md5被认为是不安全的,不再使用,您可以使用password_hash默认使用salt来生成强密码哈希。只使用几行就更容易了。请记住,不要使用自己的盐password_hash salt选项自PHP 7.0.0起已被弃用。现在,最好使用默认生成的salt。
答案 1 :(得分:1)
您不应该使用MD5或SHA1进行散列(即使使用盐),因为它们是proven to be insecure。
将salted md5用于密码是一个坏主意。不是因为MD5的加密弱点,而是因为它的速度很快。这意味着攻击者可以在单个GPU上每秒尝试数十亿个候选密码。
PHP现在提供了一种通过password_hash函数使用更安全的bcrypt哈希的简单方法,它不仅生成强哈希,还生成随机盐
$password = password_hash($_POST['password'], PASSWORD_DEFAULT);
答案 2 :(得分:0)
Md5 是用于存储密码的旧方法。请使用 salt
查看以下用于散列密码的链接https://crackstation.net/hashing-security.htm
http://www.sitepoint.com/hashing-passwords-php-5-5-password-hashing-api/