and*_*ace 5 php mysql security passwords http
我经常使用标准表单通过HTTP POST方法发送登录信息,然后使用php验证它是否正确.我在密码(有时是用户名)上使用md5哈希来提供一定程度的安全性,因此我不会在我的代码中存储原始密码,以防未经授权的人查看,或者类似的东西.
我很确定我刚刚让任何人对安全呻吟甚至模糊不清,或者至少感到恼怒.
我最近一直在一个论坛上工作,该论坛有一个用户和密码的MySQL数据库,密码存储为md5哈希,但我担心当通过HTTP POST发送登录表单时,信息被拦截的可能性就在那里.我知道MySQL注入攻击的可能性,并认为我可以免受任何简单的攻击.
当涉及到这种类型的东西时,我不是安全专家,但是我想限制通过HTTP发送时密码被截获的可能性.
这不是一个大网站,所以我并不过分担心攻击,HTTPS也不是真的可能,所以我在寻找有关使用这种发送登录信息的方法时应遵循的标准做法的建议.
干杯
您需要根据服务器提供的质询盐来执行密码的客户端哈希.对于每个请求,此挑战应该是不同的.
这样,即使拦截了密码哈希,它也无法用于任何有用的东西,因为下一次身份验证需要不同的哈希.
无论如何,HTTPS应该是正确和安全的方式.