PHP安全之道學習筆記6 密碼安全

最近幾年使用者資料洩露越發頻繁，一些使用php技術的大型**被暴庫或者脫庫，facebook公司曾因為此類事件股價**。從長遠發展來看，使用者的資料安全對於**來說至關重要,所以開發者需要關注資料相關的安全，並提高一些對敏感資料的技術性保護。

使用者資料的安全往往和使用者密碼安全息息相關。使用者將賬號和相關資料儲存在伺服器上，而密碼成了第乙個環節。

具體**如下所示:

<?php
$password = $_post['password'];
echo md5($password); // md5加密
echo sha1($password); // sha1加密

由於這種加密手段比較常規，如果使用者設定的密碼過於常見簡單，攻擊者完全可以使用密碼字典進行暴力破解。所以不建議使用md5等弱加密演算法對密碼等敏感資料進行加密，使用雜湊演算法進行加密更佳，如:sha256或者sha512。這些演算法被用於如ssl證書生成或一些重要的生成演算法中，值得使用。

php內建了hash()函式，具體使用如下**所示。

<?php
$password = $_post['password'];
echo hash('sha256', $password); // 使用sha256加密
echo hash('sha512', $password); // 使用sha512加密

曾經有乙個神奇的電商**有一句有名的slogan:"我為自己代言。"在密碼安全方面我們也可以為自己的資料加點「鹽」，增加安全係數。

使用鹽（salt）甚至隨機salt來加密，可以讓破解更加困難。簡單例子如下:

<?php
$password = $_post['password'];
$salt = rand(1, 100000);
$password = sha1($password . $salt);

而更為複雜的加密，可以使用mcrypt函式來生成salt，**如下：

<?php
$password = $_post['password'];
$salt = base64_encode(mcrpyt_create_iv(32, mcrypt_dev_random);
$password = md5($password . $salt);

為了防止暴力破解，可以注意以下方面：