请注意:我限制了这个脚本来显示基本结构。它不起作用。将敏感信息存储在被认为安全的类保护变量中?
class AuthController
{
protected $dump = NULL;
private function recall()
{
$dump = $this->query('SELECT * FROM table WHERE access="id" ORDER BY id ASC LIMIT 1');
$this->dump = mysql_fetch_array($dump);
}
}
$user = new AuthController($id);
记住转储将包含数组。
1.)id(自动分类)。
2.)唯一的名称。
3.)盐 - (随机盐与密码散列)。
4.)密码(散列)。
现在,我的问题和目的。我必须将用户数据转储到变量中以准备测试的密码,以查看密码是否与用户在数据库中存储的哈希匹配。
另一种方法是使用两个查询。 第一个,它会检索与db中用户相关联的盐 - (使用salt到准备密码以与哈希匹配)。并且第二个查询将传递准备好的密码以及用户标识或唯一名称以查看是否发生匹配。我认为这是不必要的使用数据库资源;当这些信息可以存储以备后用。
有人必须问,这是安全立场的风险吗?
不,这不是风险。 – xdazz