使用“已加入”日期时间保存密码

时间:2011-04-21 21:10:15

标签: php security salt

我在其他文章中看到了这些信息,但大多数都是使用已知值(如用户名)进行腌制。如果joined数据未在网站中的任何位置公开,那么使用joined日期时间(或joined日期时间的MD5)对密码进行腌制是一种进一步保护凭据的安全方法吗?

提前致谢!

2 个答案:

答案 0 :(得分:8)

用真正随机的盐代替盐。猜测基于日期的盐似乎有点太容易了,特别是如果有人知道这个人已成为网站成员的时间有多长。

您可以执行以下操作:

$salt = substr(sha1(uniqid(mt_rand(), true)), 0, 16);

答案 1 :(得分:0)

我实际上做了这样的事情:

$password = mysqli_real_escape_string($connect, $_POST['password']);
$salt_shaker = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));
$salted = $password.$salt_shaker;