不要绝望。单向加密方案和 crypt() 特别受欢迎。可以使保护信息的方法更安全。如果您的用户密码列表落入不法之徒之手，他们实际上没有将密码解密为明文的方法。

让我们返回到密码示例。注释 (notational) PHP 应用程序可能包括让系统管理员创建、编辑和删除用户的模块。例如，在将用户记录存储到用户表之前，PHP 脚本可以使用 crypt() 对密码加密。

清单 4. 使用 crypt() 加密密码

＜?php
$user = strip_tags(substr($_POST['user'],0,32));
$pw = strip_tags(substr($_POST['password'],0,32));

$cleanpw = crypt($pw);

$sql = "insert into users (username,password)
values('".mysql_real_escape_string($user)."',
'".mysql_real_escape_string($cleanpw)."')";
//.....etc....
?＞

crypt() 将一串明文作为它的第一个参数字，对它应用 salt 会影响加密算法的随机性，并生成输入明文的单向暗文。如果不提供 salt，则 PHP 通常默认其系统 salt，它可以是以下值和长度之一：
算法 Salt
CRYPT_STD_DES 2 个字符（默认）
CRYPT_EXT_DES 9 个字符
CRYPT_MD5 12 个字符，以 $1$开头
CRYPT_BLOWFISH 16 个字符，以 $2$开头

许多现代 PHP 安装使用 MD5 或更高的 salt，它们使用强大的 12 个字符的 salt，但是，不要对任何事情想当然。您最好知道系统正在使用哪一个值。您可以使用以下 PHP 代码片段检查服务器的设置：

＜?php echo "System salt size: ". CRYPT_SALT_LENGTH; ?＞

返回的答案将是 2、9、12 或 16，它告诉您系统正在使用的值。要使用 MD5 或更高版本的 salt，您可以显式调用明文和 salt 参数中的 crypt() 函数以及 md5() 函数，以获取随机暗文（参见清单 5）。md5() 函数可以散列反馈的任何字符串，并将其转变为固定长度为 32 个字符的字符串。您可能更喜欢其他方法，具体的使用取决于安全需求和个人爱好。

清单 5. 使用 crypt() 和 md5() 加密密码

＜?php
$user = strip_tags(substr($_POST['user'],0,32));
$pw = strip_tags(substr($_POST['password'],0,32));

$cleanpw = crypt(md5($pw),md5($user));

$sql = "insert into users (username,password)
values('".mysql_real_escape_string($user)."',
'".mysql_real_escape_string($cleanpw)."')";
//.....etc....
?＞

现在数据库中已经拥有一个已加密的密码，但是没有对其进行解密的方法。如何使之有用？一个比较容易的方法是：对用户提供的任何传入密码都使用相同的加密方法，并将结果与您存储的密码比较。

清单 6. 重访 verify.php

上一页  [1] [2] [3] [4] [5] [6] 下一页