Хранение паролей в БД + шифрование

Posted by Chas under php

Дошел до необходимости хранения паролей пользователей. Понимаю, что шифровать их надо (можно через dsCrypt, можно через функцию и т.д.), но как хранить их в таблице? То есть просто пишем в соответствующее поле таблицы пользователей, а потом по вводимому имени извлекаем для сравнения? Или принято использовать какой-то более сложный механизм хранения? Просветите. И к тому же все скрипты хранятся в какой-то защищеной папке? Типа CGI?

Linel
А про «шифрования», как сказали ранее, используйте хеширование пароля (например, алгоритм хеширования md5) и храните в базе хэш пароля. Таким образом, если злоумышленник получит доступ к базе (например, через SQL инъекцию) и получит хэши паролей, то с ними он, грубо говоря, ничего не сможет сделать, потому что функция md5() в php устроена так, что одному сгенерированному значению может соответствовать множество начальных значений.

$pwd = "MyPassword";

$pwd = md5($pwd);

Теперь в pwd будет храниться какое-то значение, типа: 48503dfd58720bd5ff35c102065a52d7. Сохраняешь его в базу. При попытке залогинниться, достаешь это значение из базы, записываешь в какую-то переменную ($pwdHash) и сравниваешь с хэшем пароля, который пытается ввести пользователь при авторизации ($password)

if (md5($password) = $pwdHash)

{

   // Если пользователь ввел правильный пароль

}

else

{

   // Если ввел неверный пароль

}

тема на форуме

Похожие статьи

• Получить хеш-сумму md5
• Как изменить MD5 хеш видео файла?
• Шифрование с помощью шифрорешетки на Python
• Как зашифровать текстовый файл
• Как защитить данные?
• Как вы храните свои пароли?
• Реализация алгоритма шифрования Эль-гамаль
• Зашифровать текстовый файл
• Защита значений текстовых полей от HEX редактора
• Пример xor шифрования с записью в INI файл