Warning: file_get_contents(/data/phpspider/zhask/data//catemap/1/php/290.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
在PHP中存储密码最安全的方法是什么?_Php_Security_Passwords - Fatal编程技术网
Fatal编程技术网
  • php/
  • 在PHP中存储密码最安全的方法是什么?

在PHP中存储密码最安全的方法是什么?

php security passwords

在PHP中存储密码最安全的方法是什么?,php,security,passwords,Php,Security,Passwords,在PHP中存储密码最安全的方法是什么?我对在使用我的应用程序时保护我的用户非常感兴趣,我想用最好的方式存储他们的密码。我读过一些关于各种加密方法的书,如MD5、SHA1等。我还读过“salts”和hash。有人能告诉我在PHP中存储密码最安全的方法吗?使用任何类型的散列存储密码都不会保护您的系统,但如果您的系统受到破坏,它会阻止人们看到明文密码。安全来自良好的监控和良好的实践 这是否意味着: 许多Web应用程序使用 用于验证用户身份的密码机制,其中用户提供 HTML表单中的用户名和密码。要讨论的

在PHP中存储密码最安全的方法是什么?我对在使用我的应用程序时保护我的用户非常感兴趣,我想用最好的方式存储他们的密码。我读过一些关于各种加密方法的书,如MD5、SHA1等。我还读过“salts”和hash。有人能告诉我在PHP中存储密码最安全的方法吗?

使用任何类型的散列存储密码都不会保护您的系统,但如果您的系统受到破坏,它会阻止人们看到明文密码。安全来自良好的监控和良好的实践

这是否意味着:

许多Web应用程序使用 用于验证用户身份的密码机制,其中用户提供 HTML表单中的用户名和密码。要讨论的议题和问题 这里考虑的是:

  • 是通过不安全的网络以明文形式发送的用户名和密码 通道?如果是这样,攻击者可以通过网络监视进行窃听 用于捕获凭据的软件。这里的对策是 使用安全套接字层(SSL)保护通信通道
  • 如何存储凭据?如果存储用户名和密码 明文密码,无论是在文件中还是在数据库中,您都是 招惹麻烦。如果您的应用程序目录不正确怎么办 已配置,攻击者浏览该文件并下载其 内容或添加新的特权登录帐户?如果一个不满的人 管理员获取您的用户名和密码数据库
  • 如何验证凭据?如果 唯一的目的是验证用户是否知道密码值。 相反,您可以以散列值和 在登录期间使用用户提供的值重新计算哈希 过程减轻字典攻击对 凭证存储,使用强密码并随机组合 使用密码哈希生成salt值
  • 初次登录后如何识别经过身份验证的用户?某种形式的身份验证 票证,例如身份验证cookie,是必需的。天气怎么样 饼干安全了吗?如果通过不安全的通道发送,攻击者 可以捕获cookie并使用它访问应用程序。被偷的 身份验证cookie是一个被盗登录
使用任何类型的散列存储密码都不会保护您的系统,但如果您的系统受到破坏,它会阻止人们看到明文密码。安全来自良好的监控和良好的实践

这是否意味着:

许多Web应用程序使用 用于验证用户身份的密码机制,其中用户提供 HTML表单中的用户名和密码。要讨论的议题和问题 这里考虑的是:

  • 是通过不安全的网络以明文形式发送的用户名和密码 通道?如果是这样,攻击者可以通过网络监视进行窃听 用于捕获凭据的软件。这里的对策是 使用安全套接字层(SSL)保护通信通道
  • 如何存储凭据?如果存储用户名和密码 明文密码,无论是在文件中还是在数据库中,您都是 招惹麻烦。如果您的应用程序目录不正确怎么办 已配置,攻击者浏览该文件并下载其 内容或添加新的特权登录帐户?如果一个不满的人 管理员获取您的用户名和密码数据库
  • 如何验证凭据?如果 唯一的目的是验证用户是否知道密码值。 相反,您可以以散列值和 在登录期间使用用户提供的值重新计算哈希 过程减轻字典攻击对 凭证存储,使用强密码并随机组合 使用密码哈希生成salt值
  • 初次登录后如何识别经过身份验证的用户?某种形式的身份验证 票证,例如身份验证cookie,是必需的。天气怎么样 饼干安全了吗?如果通过不安全的通道发送,攻击者 可以捕获cookie并使用它访问应用程序。被偷的 身份验证cookie是一个被盗登录
在将密码存储到数据库之前,先对其进行Sha和salt操作。在任何情况下,您都不能以纯文本形式存储密码。散列后丢弃普通密码

还可以使用会话变量来存储和跟踪用户会话。请勿使用Cookie,因为Cookie存储在浏览器上,可能会泄露

有一个好的密码策略。至少要确保每个密码都有最小长度,不是字典字,不是全部数字,而是混合在中、上混合的数字。等等。Google对象密码策略会出现很多问题。

在将密码存储到数据库之前先对其进行Sha和salt。在任何情况下,您都不能以纯文本形式存储密码。散列后丢弃普通密码

还可以使用会话变量来存储和跟踪用户会话。请勿使用Cookie,因为Cookie存储在浏览器上,可能会泄露

有一个好的密码策略。至少要确保每个密码都有最小长度,不是字典字,不是全部数字,而是混合在中、上混合的数字。谷歌对象密码策略将出现很多问题。

我们又来了。。。我甚至不打算为这一个查找副本。“不具建设性”。使用预先存在的、经过良好测试的。不要“自己滚”