use*_*042 0 php security password-protection bcrypt
在我的数据库中,我保存了密码
password_hash($user->getPassword(), PASSWORD_BCRYPT);
在登录表单中,用户输入此密码,我将密码编码为bcrypt字符串,并将加密密码(因为我没有SSL)提交给服务器.
所以我的问题是可以比较用bcrypt生成的两个哈希值吗?
在登录表单中,用户输入此密码,我将密码编码为bcrypt字符串,并将加密密码(因为我没有SSL)提交给服务器.
停止你正在做的事情并购买SSL证书.有一些地方(https://www.startssl.com/是一个)你可以免费获得一个,或者你可以支付7美元给像Namecheap这样的人.
你已经实现了安全的幻觉.在客户端散列密码不会带来任何有意义的安全性好处 - 任何MITM攻击者都必须将调整后的JavaScript副本提供给他们正在攻击的人(或者只是拦截散列密码,这实际上是用户在您的方案中的真实密码) .
| 归档时间: |
|
| 查看次数: |
1486 次 |
| 最近记录: |