最近在學習php,對於安全的一點點小心得。
用php做乙個註冊/登陸頁面時,要記得用對密碼進行加密(aes或者rsa)。
mysql提供了方便使用的aes_encrypt('$password', '$password')函式,可以保證我們在儲存密碼時至少不是明文狀態。這個函式的第乙個引數是,要儲存的內容而第二個引數則是金鑰。一般我們也用要加密的內容作為金鑰,這樣至少可以保證不會因為金鑰洩露而導致使用者的密碼遭到破解。
同時要注意使用aes加密內容時,內容所在字段型別為二進位制的原始內容比如varbinary,同時給予足夠的字段長度,因為加密後的內容勢必要比原內容冗餘。
除此之外,在頁面中使用者能接受使用者輸入的地方使用mysql_real_escape_string($_post['username'])函式進行轉義,來防止sql注入。
最後,我覺得前端也有必要使用js進行一定的加密然後將資料傳輸至後端進行驗證,畢竟在如今智慧型路由和公共免費wifi越來越多的情況下,在傳輸層進行抓取應該還是很容易辦到的。
Chrome明文儲存密碼
1.最近實在過於閒。2.對於chrome把密碼儲存在什麼地方,以及怎麼存的比較好奇。出於以上兩點原因,稍微翻了翻,總結如下 chrome儲存使用者儲存的登陸使用者名稱和密碼的位置 儲存的方式 明文儲存在sqlite資料庫 檢視的辦法 下乙個sqliteviewer就可以了,正常情況下有兩個table...
如何獲取全域使用者明文密碼
在組策略之外,windows 允許你自定義密碼策略,濫用這個機制可以實現一些惡意行為。今天為大家科普下 當我們按下 ctrl alt del,修改使用者密碼時,在 windows 伺服器端,會發生什麼呢?首先,windows 伺服器 域控 會檢查登錄檔,找到 password filter,也就是l...
php密碼明文 wordpress中儲存明文密碼
不懂php,留此備忘 1.在wordpress資料庫中建立乙個表 create table wp plain users id bigint 20 unsigned not null auto increment,user login varchar 60 not null default user...