首页 > 代码库 > 避免明文保存用户密码
避免明文保存用户密码
最近在学习php,对于安全的一点点小心得。
用php做一个注册/登陆页面时,要记得用对密码进行加密(AES或者RSA)。
Mysql提供了方便使用的AES_ENCRYPT(‘$password‘, ‘$password‘)函数,可以保证我们在存储密码时至少不是明文状态。这个函数的第一个参数是,要保存的内容而第二个参数则是密钥。一般我们也用要加密的内容作为密钥,这样至少可以保证不会因为密钥泄露而导致用户的密码遭到破解。
同时要注意使用AES加密内容时,内容所在字段类型为二进制的原始内容比如varbinary,同时给予足够的字段长度,因为加密后的内容势必要比原内容冗余。
除此之外,在页面中用户能接受用户输入的地方使用mysql_real_escape_string($_POST[‘username‘])函数进行转义,来防止sql注入。
最后,我觉得前端也有必要使用js进行一定的加密然后将数据传输至后端进行验证,毕竟在如今智能路由和公共免费WiFi越来越多的情况下,在传输层进行抓取应该还是很容易办到的。
避免明文保存用户密码
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。