安全的密码存储

Question

我正在开发一项用户必须登录的网络服务。我将用户数据存储在 SQL 数据库中，并通过 PHP。但我不想公开存储它。如何在 PHP 中加密密码，以便只有知道密码的人才能解锁？

我知道像 phpBB 这样的服务对存储的密码使用某种隐藏/加密。

Answer 1

您需要使用适当的安全算法对密码进行加盐和哈希处理。

• PHP 的 mhash 具有适当的哈希函数
• 一个完整的例子在这里

Answer 2

确保密码存储方案安全的最简单方法是使用标准库。

由于安全性往往比大多数程序员单独解决的要复杂得多，而且有更多看不见的搞砸的可能性，因此使用标准库几乎总是最简单和最安全（如果不是唯一）的可用选项。

有关详细信息，请参阅此答案

Answer 3

您可能想要对密码进行哈希处理 - 而不是对其进行加密。 查看 SHA-1。散列意味着您无法像加密那样检索原始数据。相反，您所做的是对用户输入进行哈希处理，并将其与数据库中的哈希值进行比较，以查看他们是否获得了正确的密码。这样做可以提高安全性，就好像您的数据库曾经受到损害一样 - 一堆哈希值是无用的。

Answer 4

嗯，你不应该用 MD5 加密它们（这并不真正安全，大多数黑客都有转换表）。

因此，您可以使用 SHA1（通常使用）对其进行哈希处理。

如果你想要更多的安全性，你可以添加更多的salt，它是一个key，你可以像这样添加（只是一个例子，通常使用）：

salt+sha1(salt+pass)

这个组合可以与许多语言。

Answer 5

使用 SHA-1（sha1 php 内置函数）对密码进行哈希处理，并进行多次加盐递归（与上面答案中的代码相同，仅循环几次）。这应该是足够的保护，所以即使入侵者以某种方式获得了哈希值，他们也不应该能够破解它们......

Answer 6

保存 MD5 哈希值，并添加盐以使其更安全。

Answer 7

可以对密码进行哈希处理（最好使用盐）：

$salt = random_string($length = 5);
$hash = $salt . sha1($salt . $password);

或加密存储（仅当您的 MySQL 连接受 SSL 保护时）：

INSERT INTO `user` (`user`,`pass`) VALUES("username",ENCRYPT("password","secretkey"))