4
我非常有兴趣了解如何确保php密码安全。php post密码例程?
主要问题是:如何从登录表单中将密码作为安全字符串发布?
我一直在检查其他网站如何执行此操作,例如Facebook的。当我登录Facebook时,根本没有看到我的密码,只是看起来像是一个很长的加密字符串。
如何在发布之前将密码字段转换为加密字符串?这是用ajax完成的吗?
干杯 柯
A
回答
4
超文本传输协议安全(HTTPS)与所述SSL/TLS协议的超文本传输协议的组合,以提供加密和安全服务器的标识。 HTTPS连接通常用于万维网上的支付交易以及公司信息系统中的敏感交易。 HTTPS不应与RFC 2660中指定的安全HTTP(S-HTTP)混淆。
如果您的网站无法启用HTTPS并且不想发布明文密码(出于明显的安全原因),请考虑使用Challenge-Response Authentication。
只需google for various PHP/Javascript implementations并选一个你喜欢的。
2
如果您不能使用安全连接,则可以在发送之前加密密码。
JavaScript的伪代码:
onSubmit:
PASSWORDFIELD.value = md5(PASSWORDFIELD.value)
你再对客户端的MD5加密的口令,然后发送到你的服务器(没有必要使用AJAX)。在服务器端,您会将其与存储在数据库中的加密密码进行比较,以检查用户是否被授权。
0
根据Select0r我做了这个不submiting后更改* -s的计数:
onSubmit='encrypt_pass(this)'
和
function encrypt_pass(form){
form.pass_md5.value = md5(form.pass.value); //needs a hidden pass_md5 field
var stars = "";
for(i=0;i<form.pass.value.length;i++)
stars = stars+"*";
form.pass.value = stars;
}
+0
这不能保证安全。攻击者只会捕获md5散列(btw.md5具有已知的冲突)并将其发送到页面以便登录。页面的有效密码是md5散列。 – 2016-03-16 22:14:32
相关问题
- 1. PHP和Java加密和解密例程
- 2. PHP解密密码
- 3. 解密Windows实例密码
- 4. 加密POST上的密码Django
- 5. PHP - 解密加密密码
- 6. PHP解码JSON POST
- 7. PHP不解码POST
- 8. jQuery Ajax POST示例与PHP
- 9. POST + cookie的示例代码?
- 10. PHP与密码
- 11. 在PHP中解密密码
- 12. PHP Salt密码加密
- 13. PHP密码重置
- 14. PHP密码保护
- 15. 确认密码PHP
- 16. PHP密码检查
- 17. PHP密码保护
- 18. AES加密,示例代码
- 19. POST串解码在PHP
- 20. 加密/解密POST表单
- 21. POST到密码保护的URL?
- 22. 通过HTTPS发送密码:GET与POST
- 23. “Hasty Pudding”密码的示例源代码?
- 24. 加密密码以发布到PHP - Android
- 25. PHP安全登录 - 密码加密
- 26. 无法比较/解密密码(PHP/Android)
- 27. PHP TripleDES密码加密注册表格
- 28. 使用Chai来测试POST /用户密码是否被加密
- 29. 将密码的PHP代码从MD5更改为WordPress密码
- 30. 密钥处理例程
这是Facebook的使用 - Facebook的日志您通过SSL,然后将您重定向回普通的旧HTTP,并使用会话保持您的登录状态。 – Josh 2010-02-17 13:29:31