zen*_*nna 3 php mysql passwords login salt
我决定使用存储在数据库中的每用户盐实现用户登录.盐的前缀为密码,密码用SHA进行哈希处理并存储在数据库中.
在过去我没有使用salt时,我会使用典型的方法来计算查询返回的行数,使用用户输入的用户名和密码.但是,对于每用户salt,您需要先获取salt,然后才能将其与存储的密码哈希进行比较.
因此,为了避免有两个查询(1获取盐和另一个验证输入凭据),我决定根据输入的用户名在单个查询中获取salt和散列密码.就像是
SELECT users.salt, users.password
FROM users
WHERE username = ?'
然后在服务器端代码(PHP)中,我将salt与输入的密码连接起来,哈希并将其与已经从数据库中获取的密码进行比较.
如果不清楚,我想关键的区别在于,在后一种方法中,我在数据库中完成此操作之前检查PHP中的凭据.
在安全性或其他方面,这种方法是否有任何缺点
您可以在一个查询中完成此操作,如下所示:
SELECT
SHA1(CONCAT(users.salt, "password-input")) = users.passwordhash
WHERE
username = "username-input"
| 归档时间: |
|
| 查看次数: |
1844 次 |
| 最近记录: |