php代碼中數(shù)據(jù)庫(kù)加密 php數(shù)據(jù)庫(kù)密碼加密

php代碼怎么加密最好，不能破解的那種

在使用PHP開(kāi)發(fā)Web應(yīng)用的中，很多的應(yīng)用都會(huì)要求用戶注冊(cè)，而注冊(cè)的時(shí)候就需要我們對(duì)用戶的信息進(jìn)行處理了，最常見(jiàn)的莫過(guò)于就是郵箱和密碼了，本文意在討論對(duì)密碼的處理：也就是對(duì)密碼的加密處理。

創(chuàng)新互聯(lián)是專業(yè)的永豐網(wǎng)站建設(shè)公司，永豐接單;提供成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè),網(wǎng)頁(yè)設(shè)計(jì),網(wǎng)站設(shè)計(jì),建網(wǎng)站,PHP網(wǎng)站建設(shè)等專業(yè)做網(wǎng)站服務(wù);采用PHP框架,可快速的進(jìn)行永豐網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展;專業(yè)做搜索引擎喜愛(ài)的網(wǎng)站,專業(yè)的做網(wǎng)站團(tuán)隊(duì),希望更多企業(yè)前來(lái)合作!

MD5

相信很多PHP開(kāi)發(fā)者在最先接觸PHP的時(shí)候，處理密碼的首選加密函數(shù)可能就是MD5了，我當(dāng)時(shí)就是這樣的：

$password = md5($_POST["password"]);

上面這段代碼是不是很熟悉？然而MD5的加密方式目前在PHP的江湖中貌似不太受歡迎了，因?yàn)樗募用芩惴▽?shí)在是顯得有點(diǎn)簡(jiǎn)單了，而且很多破解密碼的站點(diǎn)都存放了很多經(jīng)過(guò)MD5加密的密碼字符串，所以這里我是非常不提倡還在單單使用MD5來(lái)加密用戶的密碼的。

SHA256 和 SHA512

其實(shí)跟前面的MD5同期的還有一個(gè)SHA1加密方式的，不過(guò)也是算法比較簡(jiǎn)單，所以這里就一筆帶過(guò)吧。而這里即將要說(shuō)到的SHA256 和 SHA512都是來(lái)自于SHA2家族的加密函數(shù)，看名字可能你就猜的出來(lái)了，這兩個(gè)加密方式分別生成256和512比特長(zhǎng)度的hash字串。

他們的使用方法如下：

?php

$password = hash("sha256", $password);

PHP內(nèi)置了hash()函數(shù)，你只需要將加密方式傳給hash()函數(shù)就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。

鹽值

在加密的過(guò)程，我們還有一個(gè)非常常見(jiàn)的小伙伴：鹽值。對(duì)，我們?cè)诩用艿臅r(shí)候其實(shí)會(huì)給加密的字符串添加一個(gè)額外的字符串，以達(dá)到提高一定安全的目的：

?php

function generateHashWithSalt($password) {$intermediateSalt = md5(uniqid(rand(), true));$salt = substr($intermediateSalt, 0, 6);

return hash("sha256", $password . $salt);}

Bcrypt

如果讓我來(lái)建議一種加密方式的話，Bcrypt可能是我給你推薦的最低要求了，因?yàn)槲視?huì)強(qiáng)烈推薦你后面會(huì)說(shuō)到的Hashing API，不過(guò)Bcrypt也不失為一種比較不錯(cuò)的加密方式了。

?php

function generateHash($password) {

if (defined("CRYPT_BLOWFISH") CRYPT_BLOWFISH) {$salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);return crypt($password, $salt);

}

}

Bcrypt 其實(shí)就是Blowfish和crypt()函數(shù)的結(jié)合，我們這里通過(guò)CRYPT_BLOWFISH判斷Blowfish是否可用，然后像上面一樣生成一個(gè)鹽值，不過(guò)這里需要注意的是，crypt()的鹽值必須以$2a$或者$2y$開(kāi)頭，詳細(xì)資料可以參考下面的鏈接：

更多資料可以看這里：

Hashing API

這里才是我們的重頭戲，Password Hashing API是PHP 5.5之后才有的新特性，它主要是提供下面幾個(gè)函數(shù)供我們使用：

password_hash() – 對(duì)密碼加密.

password_verify() – 驗(yàn)證已經(jīng)加密的密碼，檢驗(yàn)其hash字串是否一致.

password_needs_rehash() – 給密碼重新加密.

password_get_info() – 返回加密算法的名稱和一些相關(guān)信息.

雖然說(shuō)crypt()函數(shù)在使用上已足夠，但是password_hash()不僅可以使我們的代碼更加簡(jiǎn)短，而且還在安全方面給了我們更好的保障，所以，現(xiàn)在PHP的官方都是推薦這種方式來(lái)加密用戶的密碼，很多流行的框架比如Laravel就是用的這種加密方式。

?php

$hash = password_hash($passwod, PASSWORD_DEFAULT);對(duì)，就是這么簡(jiǎn)單，一行代碼，All done。

PASSWORD_DEFAULT目前使用的就是Bcrypt，所以在上面我會(huì)說(shuō)推薦這個(gè)，不過(guò)因?yàn)镻assword Hashing API做得更好了，我必須鄭重地想你推薦Password Hashing API。這里需要注意的是，如果你代碼使用的都是PASSWORD_DEFAULT加密方式，那么在數(shù)據(jù)庫(kù)的表中，password字段就得設(shè)置超過(guò)60個(gè)字符長(zhǎng)度，你也可以使用PASSWORD_BCRYPT，這個(gè)時(shí)候，加密后字串總是60個(gè)字符長(zhǎng)度。

這里使用password_hash()你完全可以不提供鹽值(salt)和 消耗值 (cost)，你可以將后者理解為一種性能的消耗值，cost越大，加密算法越復(fù)雜，消耗的內(nèi)存也就越大。當(dāng)然，如果你需要指定對(duì)應(yīng)的鹽值和消耗值，你可以這樣寫：

?php

$options = [

'salt' = custom_function_for_salt(), //write your own code to generate a suitable salt'cost' = 12 // the default cost is 10

];

$hash = password_hash($password, PASSWORD_DEFAULT, $options);密碼加密過(guò)后，我們需要對(duì)密碼進(jìn)行驗(yàn)證，以此來(lái)判斷用戶輸入的密碼是否正確：

?php

if (password_verify($password, $hash)) {

// Pass

}

else {

// Invalid

}

很簡(jiǎn)單的吧，直接使用password_verify就可以對(duì)我們之前加密過(guò)的字符串（存在數(shù)據(jù)庫(kù)中）進(jìn)行驗(yàn)證了。

然而，如果有時(shí)候我們需要更改我們的加密方式，如某一天我們突然想更換一下鹽值或者提高一下消耗值，我們這時(shí)候就要使用到password_needs_rehash()函數(shù)了：

?php

if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' = 12])) {// cost change to 12

$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' = 12]);// don't forget to store the new hash!

}

只有這樣，PHP的Password Hashing API才會(huì)知道我們重現(xiàn)更換了加密方式，這樣的主要目的就是為了后面的密碼驗(yàn)證。

簡(jiǎn)單地說(shuō)一下password_get_info()，這個(gè)函數(shù)一般可以看到下面三個(gè)信息：

algo – 算法實(shí)例

algoName – 算法名字

options – 加密時(shí)候的可選參數(shù)

所以，現(xiàn)在就開(kāi)始用PHP 5.5吧，別再糾結(jié)低版本了。

Happy Hacking

各位用php將密碼存入數(shù)據(jù)庫(kù)，都用什么方法進(jìn)行加密的

php將密碼存入數(shù)據(jù)庫(kù),可以分內(nèi)常見(jiàn)的4種方式：

1、直接md5加密存到到數(shù)據(jù)庫(kù)

2、md5兩次存到數(shù)據(jù)庫(kù)

3、對(duì)需要加密的字符串和一個(gè)常量 進(jìn)行混淆加密

4、生成一個(gè)隨機(jī)的變量存到數(shù)據(jù)庫(kù)中，然后對(duì)需要加密的字符串和這個(gè)隨機(jī)變量加密

?php

$str="admin";?//需要加密的字符串

$str2="php";??//增加一個(gè)常量混淆?

$pass1=md5($str);

$pass2=md5(md5($str));

$pass3=md5($str.$str2);

echo?$pass1."br".$pass2."br".$pass3;

?

輸出：

第四種

$str="admin";?//需要加密的字符串

$encrypt=$row['encrypt'];?//?生成的?隨機(jī)加密字符串?存到數(shù)據(jù)庫(kù)中

$pass4=md5($str.$encrypt);

//??8db2ec7e9636f124e56f7eb4d7b7cc7e

thinkphp數(shù)據(jù)庫(kù)配置信息加密怎么處理

今天有一個(gè)朋友問(wèn)我thinkphp的這個(gè)問(wèn)題，剛好百度搜索到你這個(gè)問(wèn)題。已經(jīng)解決。就幫你解答一下這個(gè)問(wèn)題。

首先我嘗試在入口文件封裝一個(gè)加密函數(shù)，我用php des 加密，然后在配置文件config.php調(diào)用。然后在控制器里面使用，打印配置文件:dump(C());//輸出所有的配置文件信息, 雖然能看到正確的數(shù)據(jù)用戶名和密碼，但是會(huì)報(bào)錯(cuò)。失敗告終。

我說(shuō)一下我的解決方法。很簡(jiǎn)單。

1:把配置文件里面的用戶名，密碼，數(shù)據(jù)庫(kù)名瞎寫一寫，別人看到你的代碼的配置文件看到的就是錯(cuò)誤的數(shù)據(jù)庫(kù)名和密碼了。比如：

'DB_NAME' = 'SB', // 數(shù)據(jù)庫(kù)名

'DB_USER' = 'ni_da_ye', // 用戶名

'DB_PWD' = 'da_da_bi', // 密碼

在每個(gè)控制器文件里面。加入一段代碼。

比如你的IndexController.class.php文件。加下面的代碼。

/* 初始化方法*/

public function __construct(){

parent::__construct();

C("DB_NAME",decrypt('712349721937491237'));//數(shù)據(jù)庫(kù)名，

C('DB_USER',decrypt('712349721937491237'));//用戶名

C('DB_PWD',decrypt('712349721937491237'));//密碼

}

看清楚了嗎？

decrypt（）這個(gè)函數(shù)就是我封裝的一個(gè)加密函數(shù)，親自測(cè)試沒(méi)有錯(cuò)誤?？赡軙?huì)犧牲一些性能。但是保證了用戶名，密碼，數(shù)據(jù)庫(kù)名沒(méi)有泄露。甚至你都可以把數(shù)據(jù)庫(kù)連接地址也加密一下。希望能幫到你。

PHP加密函數(shù)可以考慮用des，aes這些可逆加密。別用什么md4，md5.

用php將密碼存入數(shù)據(jù)庫(kù)，用什么方法進(jìn)行加密?

題主你可以使用 md5 或者 sha1 進(jìn)行初步處理，但為了更加安全，請(qǐng)你同時(shí)加上兩個(gè) salt，一個(gè)靜態(tài) salt，一個(gè)動(dòng)態(tài)的 salt。以 md5 為例：\x0d\x0a假設(shè)通過(guò) POST 傳來(lái)的密碼為 $_POST['password']，在存入 DB 前先進(jìn)行如下的操作：\x0d\x0a$password = hash('md5', $_POST['password'].$staticSalt.$dynamicSalt);\x0d\x0a\x0d\x0a為了保證動(dòng)態(tài) salt 的唯一性，可以這樣操作：\x0d\x0a$dynamicSalt = hash('md5', microtime());\x0d\x0a\x0d\x0a對(duì)于動(dòng)態(tài)的 salt 可以與生成的密碼一起保存在 DB 中，而靜態(tài) salt 則可以直接放在類文件中（例如定義為一個(gè)靜態(tài)屬性即可）。\x0d\x0a首先謝謝題主采納了我的答案，但是我之前的回答并不是最佳答案，之所以有此加密的想法源于自己所讀的源碼可能比較老，所以并沒(méi)使用上較新版本的加密方法，例如 bcrypt等。\x0d\x0a此外，第二點(diǎn)，感謝評(píng)論中幾位前輩的提點(diǎn)，已經(jīng)明白設(shè)置靜態(tài) salt 的意義并不大，生成一個(gè)較長(zhǎng)的動(dòng)態(tài) salt 已然可以解決問(wèn)題。\x0d\x0a\x0d\x0aLZ應(yīng)該采用加鹽HASH。\x0d\x0a如何“腌制”密碼呢？\x0d\x0a=_,=\x0d\x0a正確的格式應(yīng)該是，用戶password+動(dòng)態(tài)的salt\x0d\x0a動(dòng)態(tài)的salt不能像2L所說(shuō)的，使用microtime，因?yàn)闀r(shí)間在某些情況下不夠隨機(jī)，而且是可能被猜解的。\x0d\x0a這里推薦一個(gè)我用的加鹽HASH\x0d\x0a$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));\x0d\x0a$password=sha1($register_password.$salt);\x0d\x0a\x0d\x0a解釋:\x0d\x0a首先使用mcrypt，產(chǎn)生電腦隨機(jī)生成的，專門用戶加密的隨機(jī)數(shù)函數(shù)。\x0d\x0a第二步，把得到的隨機(jī)數(shù)通過(guò)base64加密，使其變長(zhǎng)并且不利于猜解。\x0d\x0a第三步，把得出的鹽拼接到密碼的后面，再對(duì)其使用sha1進(jìn)行哈希\x0d\x0a再把password存入到用戶的數(shù)據(jù)庫(kù)。\x0d\x0aPS：為何不用靜態(tài)的salt？沒(méi)有必要，使用一個(gè)動(dòng)態(tài)隨機(jī)足夠長(zhǎng)的鹽足矣。\x0d\x0a為何不用MD5？因?yàn)殚L(zhǎng)度不夠。\x0d\x0a為何沒(méi)有使用多次HASH？因?yàn)檫@樣反而容易發(fā)生碰撞。\x0d\x0aHASH好之后怎么使用“腌制”好的密碼？\x0d\x0a用戶注冊(cè)-提交密碼-產(chǎn)生salt-腌制好的密碼存入數(shù)據(jù)庫(kù)-salt存入數(shù)據(jù)庫(kù)。\x0d\x0a用戶登錄-提交密碼-調(diào)用salt接到提交密碼的后面-進(jìn)行HASH-調(diào)用之前注冊(cè)腌制好的密碼-對(duì)比HASH值是否和這個(gè)密碼相同

分享題目：php代碼中數(shù)據(jù)庫(kù)加密 php數(shù)據(jù)庫(kù)密碼加密
分享URL：http://m.jiaotiyi.com/article/hghoio.html