之前看到網上有很多知名企業**都爆出密碼洩露的問題,然後我們現在做一些關於註冊和登入還有其他方方面面涉及資料庫資料的內容。
如果我們一般做註冊頁面,將使用者註冊的密碼存進資料庫,一般建議不要單純的將密碼存進去,因為這樣安全性絕對是最低的,如果不想讓別人簡簡單單就拿到我們密碼的話,那就得在密碼上面做點小功夫,例如我們最常見的就是md5的加密,因為md5是不可逆的,這時候可能會有很多人說,我們上網有很多md5解密的**,把密碼扔進去不就好了嗎?
雖然**上面md5解密的解密查詢資料的記錄驚人,但是如果我們在md5原基礎上再加密一次或者多次,那就算有入侵者來盜取,也未必能一時之間把使用者的密碼給識破;然後如果我們在md5的加密基礎上再把md5加密出來的32位,抽取出前幾位或者後幾位的數來拼接後密碼的任意位置上面,那樣的話,我相信密碼的安全性就會大大的提高了幾個層次。而且,做類似註冊頁面或者其他諸如此類頁面的時候,利用正則來驗證,可以有效的控制,使用者填寫的密碼不要過於簡單,例如不能純數字,不能有特殊符號等等,或者要求要數字和英文本混合組成,而且大家要記住自己的加密方法。
例如用salt隨機鹽的方法加密,還有增加個登入失敗次數限制,還有等多的雜湊加密方法等等,我們也可以使用sql防注入,去網上download乙份防注入檔案,然後在單入口引入,還有必須要深入了解cookie~~
以上只是一些小方法,當然如果有大神有更多的好方法能提高密碼的安全性,希望可以分享交流!
關於密碼的安全性問題
最近看到網上有很多知名企業 都爆出密碼洩露的問題,然後我們現在做一些關於註冊和登入還有其他方方面面涉及資料庫資料的內容。如果我們一般做註冊頁面,將使用者註冊的密碼存進資料庫,一般建議不要單純的將密碼存進去,因為這樣安全性絕對是最低的,如果不想讓別人簡簡單單就拿到我們密碼的話,那就得在密碼上面做點小功...
關於dwr的安全性問題
在一些 中,我們雖然使用了ajax,但是我們並不希望使用者能夠私自呼叫這些ajax,因為有些ajax呼叫會包含對資料的更新操作,即使是唯讀的操作,也不希望使用者能在本地進行直接呼叫。在 michael chen 的這篇文章中 url 提及了ajax應用中的安全問題,並且給出了乙個臨時的解決方案。雖然...
安全性問題
更改預設密碼 大量關鍵資訊 金融的 市場的 私人的 難以置信地在 inter 上失竊,不僅因為不夠嚴密的安全體系結構,還因為不負責任地留下了資料庫和系統的預設安裝密碼。如果您不希望成為上述的一員,一定要更改 rdbms windows nt 計算機和其他資源中眾所周知的使用者預設登入密碼。檢查入口處...