用户验证密码检查数据库

Question

我正在开发一个需要用户进行身份验证的应用程序。我通过拥有一个包含配置文件表并在表内包含用户名和密码的数据库来做到这一点。我打算让用户输入他们的用户名和密码，然后将他们给定的数据与数据库中的数据进行比较。如果它们相同，那么它们就会登录。这是执行此操作的正确方法吗？

如果这是正确的方法，我如何将用户给定的密码与数据库中的密码进行比较？数据库中的密码是使用 PASSWORD 函数加密的。

谢谢！

Answer 1

您可以为此使用 AES_ENCRYPT()、AES_DECRYPT() 函数。这是我建议的方式。在您的程序中，您保留一个存储加密密钥的常量全局变量。

所以你可以像这样比较密码。

SELECT User_ID FROM profile where profile.userID= ' + userID + ' AND profile.password = AES_ENCRYPT(' + Givepassword + ','" + USER_ENCRYPTION_KEY + "')

希望这会对您有所帮助。

普拉萨德。

Answer 2

你有基础知识，是的。
通常在密码中添加 salt 到密码中，然后使用一-方式哈希算法，例如 SHA1()、SHA256() 等。然后存储用户名，数据库中的盐和散列密码+盐。
验证凭据时，您根据用户名检索盐，然后使用它对提供的密码进行哈希处理，然后将其与您存储的密码进行比较。对用户的失败响应不应表明密码或用户名是否错误。只是有些事情是不正确的。

盐可以防止字典攻击。单向哈希可防止任何人（包括您或用户）检索密码。你只能重置它。

这绝不是一份全面的指南。只是一些更多的建议，让你们更接近。