那些遇到过的问题

使用sha1和salt存储密码

Ty *_*ley 3 php hash mysqli sha1 salt

我有一个简单的注册脚本在PHP完成,我只是好奇,如果我这样做的方式足够安全,以存储用户密码.我正在生成一个32位随机盐并将其附加到sha1哈希密码.

//create new validator object
    $validator = new data_validation();
    //validate user input
    $firstName = $validator->validate_fname($firstName); //is the first name a string?
    $lastName = $validator->validate_lname($lastName); // is the last name a string?
    $username = $validator->validate_username($username); // is the username a string?
    $email = $validator->validate_email($email); //is the email in valid format?

    //make sure there isn't duplicate emails
    $valQuery = $link->query("SELECT email FROM users WHERE email = '" .$email. "'");

    if ($valQuery->num_rows == 1) {
        echo "An email is already registered with that address";
        return false;
    }

    // generate a random salt for converting passwords into sha1
    $salt = $link->real_escape_string(bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM)));
    $saltedPW =  $password . $salt;
    $hashedPW = sha1($saltedPW);

    mysqli_connect($db_host, $db_user, $db_pass) OR DIE (mysqli_error());
    // select the db
    mysqli_select_db ($link, $db_name) OR DIE ("Unable to select db".mysqli_error($db_name));

     // our sql query
    $sql = "INSERT INTO users (first_name, last_name, username, email, password, salt) VALUES ('$firstName', '$lastName', '$username', '$email', '$hashedPW', '$salt');";

    //save the updated information to the database          
    $result = mysqli_query($link, $sql) or die("Error in Query: " . mysqli_error($link));

    if (!mysqli_error($link)) 
    {
        $row = mysqli_fetch_assoc($result);
        $_SESSION['user_id'] = $row['user_id'];
        $_SESSION['loggedin'] = TRUE;
        header("Location: ../home");
    }
Run Code Online (Sandbox Code Playgroud)

此外,我正在使用程序和oop php的组合.其中大部分都是在过程中完成的,但是有一些oop类,比如你在上面的脚本中看到的验证类.这是否会导致使用这两种样式的性能问题?

Rei*_*ica 6

不.停止你正在做的事情,阅读如何安全地散列密码,然后读取PHP密码的安全散列和盐:

最重要的是:

  • 尽可能使用scrypt; bcrypt,如果你不能.
  • 如果您不能使用bcrypt或scrypt,请使用PBKDF2.

有关PBKDF2,bcrypt和scrypt的比较,请参阅此答案.

另请参阅经常链接的文章如何安全地存储密码:

[MD5,SHA1,SHA256,SHA512,SHA-3等]都是通用散列函数,用于在尽可能短的时间内计算大量数据的摘要.这意味着它们非常适合确保数据的完整性和存储密码的完全垃圾.

PHPass可能是在PHP中进行bcrypt散列的最简单方法.你也可以做到这一点艰难地使用crypt函数CRYPT_BLOWFISH,如果你想要的,但要知道,有很多的方式来得到它错了,接口是相当神秘的(怎么样,你指定盐值).

归档时间:

查看次数:

12662 次

最近记录:

11 年,4 月 前
如何在PHP中使用bcrypt进行散列密码? 1230
为PHP密码保护哈希和盐 1142
更多相关链接
相关归档
如何正确地要求Composer中的特定提交,以便它可用于依赖包? 94
phpexcel下载 77
PHP - 最好使用require_once('filename.php')或require_once'filename.php'; 32
在PHP中初始化像数组一样的对象? 28
Laravel Eloquent加入vs Inner Join? 22
Laravel捕获Eloquent"Unique"字段错误 21
SQL方法获取整行的MD5或SHA1 10
散列整数数组 7
两个mysqli查询 5
哈希盐是否有任何其他用途,而不是防止彩虹表攻击? 2
难疑归档
如何更新GitHub分叉存储库? 3390
如何使用jQuery刷新页面? 2361
什么是NullReferenceException,我该如何解决? 1876
npm install的--save选项是什么? 1779
如何基于通配符匹配以递归方式查找当前和子文件夹中的所有文件? 1695
禁用Chrome缓存以进行网站开发 1563
如何将堆栈跟踪转换为字符串? 1435
哪些字符在CSS类名/选择器中有效? 1171
命名类 - 如何避免将所有内容称为"<WhatEver> Manager"? 1147
活动已泄露最初添加的窗口 1117