PHP安全之道:密码安全
最近几年用户数据泄露越发频繁,一些使用PHP技术的大型网站被暴库或者脱库,facebook公司曾因为此类事件股价暴跌。从长远发展来看,用户的数据安全对于网站来说至关重要,所以开发者需要关注数据相关的安全,并提高一些对敏感数据的技术性保护。
用户数据的安全往往和用户密码安全息息相关。用户将账号和相关数据存储在服务器上,而密码成了第一个环节。
-
1.常规加密方法
MD5或者SHA1
具体代码如下所示:
<?php
$password = $_POST['password'];
echo md5($password); // md5加密
echo sha1($password); // sha1加密
由于这种加密手段比较常规,如果用户设置的密码过于常见简单,攻击者完全可以使用密码字典进行暴力破解。所以不建议使用MD5等弱加密算法对密码等敏感数据进行加密,使用散列算法进行加密更佳,如:SHA256或者SHA512。这些算法被用于如ssl证书生成或一些重要的生成算法中,值得使用。
PHP内置了hash()函数,具体使用如下代码所示。
<?php
$password = $_POST['password'];
echo hash('sha256', $password); // 使用sha256加密
echo hash('sha512', $password); // 使用sha512加密
曾经有一个神奇的电商网站有一句有名的slogan:"我为自己代言。"在密码安全方面我们也可以为自己的数据加点“盐”,增加安全系数。
使用盐(salt)甚至随机salt来加密,可以让破解更加困难。简单例子如下:
<?php
$password = $_POST['password'];
$salt = rand(1, 100000);
$password = sha1($password . $salt);
而更为复杂的加密,可以使用mcrypt函数来生成salt,代码如下:
<?php
$password = $_POST['password'];
$salt = base64_encode(mcrpyt_create_iv(32, MCRYPT_DEV_RANDOM);
$password = md5($password . $salt);
当然还可以根据自己实际业务需要自定义自己的算法,以前和腾讯的研发联调接口的时候,我们还会约定不同的业务接口使用不同的业务代码来增加token算法的复杂度。
为了防止暴力破解,可以注意以下方面:
- 1.使用验证码进行登录验证或相关授权。
- 2.定期刷新秘钥。
- 3.使用随机数的复杂算法。
- 4.限制某时间段内验证次数。