我在其他文章中看到了这些信息,但大多数都是使用已知值(如用户名)进行腌制。如果joined数据未在网站中的任何位置公开,那么使用joined日期时间(或joined日期时间的MD5)对密码进行腌制是一种进一步保护凭据的安全方法吗?
提前致谢!
答案 0 :(得分:8)
用真正随机的盐代替盐。猜测基于日期的盐似乎有点太容易了,特别是如果有人知道这个人已成为网站成员的时间有多长。
您可以执行以下操作:
$salt = substr(sha1(uniqid(mt_rand(), true)), 0, 16);
答案 1 :(得分:0)
我实际上做了这样的事情:
$password = mysqli_real_escape_string($connect, $_POST['password']);
$salt_shaker = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
$salted = $password.$salt_shaker;