• 避免明文保存用户密码


    最近在学习php,对于安全的一点点小心得。

    用php做一个注册/登陆页面时,要记得用对密码进行加密(AES或者RSA)。

    Mysql提供了方便使用的AES_ENCRYPT('$password', '$password')函数,可以保证我们在存储密码时至少不是明文状态。这个函数的第一个参数是,要保存的内容而第二个参数则是密钥。一般我们也用要加密的内容作为密钥,这样至少可以保证不会因为密钥泄露而导致用户的密码遭到破解。

    同时要注意使用AES加密内容时,内容所在字段类型为二进制的原始内容比如varbinary,同时给予足够的字段长度,因为加密后的内容势必要比原内容冗余。

    除此之外,在页面中用户能接受用户输入的地方使用mysql_real_escape_string($_POST['username'])函数进行转义,来防止sql注入。

    最后,我觉得前端也有必要使用js进行一定的加密然后将数据传输至后端进行验证,毕竟在如今智能路由和公共免费WiFi越来越多的情况下,在传输层进行抓取应该还是很容易办到的。

  • 相关阅读:
    百度地图地址解析/逆地址解析
    Oracle表空间创建要点
    dubbo——providers
    dubbo——常用标签属性
    dubbo——spring初始化
    dubbo——RPC
    mybatis——datasource
    redis——再补充
    mybatis——缓存
    mybatis——Executor
  • 原文地址:https://www.cnblogs.com/bear-lab/p/4032087.html
Copyright © 2020-2023  润新知