建站
咨詢
售后
建站咨詢
新聞中心
用php將密碼存入數(shù)據(jù)庫,用什么方法進(jìn)行加密?
題主你可以使用 md5 或者 sha1 進(jìn)行初步處理,但為了更加安全,請你同時(shí)加上兩個(gè) salt,一個(gè)靜態(tài) salt,一個(gè)動態(tài)的 salt。以 md5 為例:\x0d\x0a假設(shè)通過 POST 傳來的密碼為 $_POST['password'],在存入 DB 前先進(jìn)行如下的操作:\x0d\x0a$password = hash('md5', $_POST['password'].$staticSalt.$dynamicSalt);\x0d\x0a\x0d\x0a為了保證動態(tài) salt 的唯一性,可以這樣操作:\x0d\x0a$dynamicSalt = hash('md5', microtime());\x0d\x0a\x0d\x0a對于動態(tài)的 salt 可以與生成的密碼一起保存在 DB 中,而靜態(tài) salt 則可以直接放在類文件中(例如定義為一個(gè)靜態(tài)屬性即可)。\x0d\x0a首先謝謝題主采納了我的答案,但是我之前的回答并不是最佳答案,之所以有此加密的想法源于自己所讀的源碼可能比較老,所以并沒使用上較新版本的加密方法,例如 bcrypt等。\x0d\x0a此外,第二點(diǎn),感謝評論中幾位前輩的提點(diǎn),已經(jīng)明白設(shè)置靜態(tài) salt 的意義并不大,生成一個(gè)較長的動態(tài) salt 已然可以解決問題。\x0d\x0a\x0d\x0aLZ應(yīng)該采用加鹽HASH。\x0d\x0a如何“腌制”密碼呢?\x0d\x0a=_,=\x0d\x0a正確的格式應(yīng)該是,用戶password+動態(tài)的salt\x0d\x0a動態(tài)的salt不能像2L所說的,使用microtime,因?yàn)闀r(shí)間在某些情況下不夠隨機(jī),而且是可能被猜解的。\x0d\x0a這里推薦一個(gè)我用的加鹽HASH\x0d\x0a$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));\x0d\x0a$password=sha1($register_password.$salt);\x0d\x0a\x0d\x0a解釋:\x0d\x0a首先使用mcrypt,產(chǎn)生電腦隨機(jī)生成的,專門用戶加密的隨機(jī)數(shù)函數(shù)。\x0d\x0a第二步,把得到的隨機(jī)數(shù)通過base64加密,使其變長并且不利于猜解。\x0d\x0a第三步,把得出的鹽拼接到密碼的后面,再對其使用sha1進(jìn)行哈希\x0d\x0a再把password存入到用戶的數(shù)據(jù)庫。\x0d\x0aPS:為何不用靜態(tài)的salt?沒有必要,使用一個(gè)動態(tài)隨機(jī)足夠長的鹽足矣。\x0d\x0a為何不用MD5?因?yàn)殚L度不夠。\x0d\x0a為何沒有使用多次HASH?因?yàn)檫@樣反而容易發(fā)生碰撞。\x0d\x0aHASH好之后怎么使用“腌制”好的密碼?\x0d\x0a用戶注冊-提交密碼-產(chǎn)生salt-腌制好的密碼存入數(shù)據(jù)庫-salt存入數(shù)據(jù)庫。\x0d\x0a用戶登錄-提交密碼-調(diào)用salt接到提交密碼的后面-進(jìn)行HASH-調(diào)用之前注冊腌制好的密碼-對比HASH值是否和這個(gè)密碼相同
目前創(chuàng)新互聯(lián)已為1000+的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站托管、服務(wù)器托管、企業(yè)網(wǎng)站設(shè)計(jì)、蒸湘網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長,共同發(fā)展。
各位用php將密碼存入數(shù)據(jù)庫,都用什么方法進(jìn)行加密的
php將密碼存入數(shù)據(jù)庫,可以分內(nèi)常見的4種方式:
1、直接md5加密存到到數(shù)據(jù)庫
2、md5兩次存到數(shù)據(jù)庫
3、對需要加密的字符串和一個(gè)常量 進(jìn)行混淆加密
4、生成一個(gè)隨機(jī)的變量存到數(shù)據(jù)庫中,然后對需要加密的字符串和這個(gè)隨機(jī)變量加密
?php$str="admin"; //需要加密的字符串$str2="php"; //增加一個(gè)常量混淆 $pass1=md5($str);$pass2=md5(md5($str));$pass3=md5($str.$str2);echo $pass1."br".$pass2."br".$pass3;?
輸出:
第四種
$str="admin"; //需要加密的字符串$encrypt=$row['encrypt']; // 生成的 隨機(jī)加密字符串 存到數(shù)據(jù)庫中$pass4=md5($str.$encrypt);// 8db2ec7e9636f124e56f7eb4d7b7cc7e
php 如何鎖表
在進(jìn)行數(shù)據(jù)表檢查或修補(bǔ)時(shí),可以先將數(shù)據(jù)表鎖定,可確保數(shù)據(jù)表的安全:
mysqlLOCK TABLE tbl_name READ;
mysqlFLUSH TABLES;
將數(shù)據(jù)表鎖定后再進(jìn)行檢查或修補(bǔ)的工作。完成后再解除鎖定:
mys()qlUNLOCK TABLES;
//LOCK TABLE tbl_name READ表示要鎖定成只讀狀態(tài),在這個(gè)狀態(tài)下用戶只能讀取數(shù)據(jù)表,不能寫入。
LOCK TABLE tbl_name WRITE則是更嚴(yán)格的鎖定,用戶不能讀取也不能寫入。
php mysql的鎖機(jī)制 怎么寫
MYSQL中的鎖:
語法 :
LOCK TABLE 表名1 READ|WRITE, 表名2 READ|WRITE .................. 【鎖表】
UNLOCK TABLES 【釋放表】
Read:讀鎖|共享鎖 : 所有的客戶端只能讀這個(gè)表不能寫這個(gè)表
Write:寫鎖|排它鎖: 所有當(dāng)前鎖定客戶端可以操作這個(gè)表,其他客戶端只能阻塞
注意:在鎖表的過程中只能操作被鎖定的表,如果要操作其他表,必須把所有要操作的表都鎖定起來!
PHP中的文件鎖 (鎖的是文件,不是表)
文件鎖的文件與表有什么關(guān)系?:一點(diǎn)關(guān)系也沒有,與令牌相似,誰拿到誰操作。所以表根本沒鎖。
測試時(shí),有個(gè)文件就行,叫什么名無所謂
開發(fā)php網(wǎng)站,mysql做數(shù)據(jù)庫一定要用鎖嗎?
一般情況下,MYSQL在更新操作會自動加表鎖。不需要顯式加鎖。除非是數(shù)據(jù)要求嚴(yán)格的邏輯寫順序。
執(zhí)行查詢語句(SELECT)前,會自動給涉及的所有表加讀鎖,在執(zhí)行更新操作 (UPDATE、DELETE、INSERT等)前,會自動給涉及的表加寫鎖,這個(gè)過程并不需要用戶干預(yù),因此,用戶一般不需要直接用LOCK TABLE命令給MyISAM表顯式加鎖。
分享名稱:php數(shù)據(jù)庫寫鎖 php 鎖
瀏覽地址:http://www.ef60e0e.cn/article/hjoghi.html
