Php 将文本加密到数据库中
我正在建立一个简单的网站,用户可以在其中上传文本片段(注释)。便笺将有一个标志“private”,如果为true,我希望对其进行加密,以便即使是我(可以访问数据库的人)也无法读取该便笺。 我知道加密是通过一个密钥进行的,我现在能想到的最好的密钥就是用户密码。显然,密码已散列到数据库中,但我可以在登录$u会话时保存它 这是个好主意吗 例如,在cryptobin.org中,用户被要求输入密码,但在我的网站中,已经注册的用户在登录时插入密码,我不想在每次他上传他的便笺时再问一些新问题,我重复一遍,我需要所有这些,因为我想保护他的便笺不被我发现 我可能不太清楚加密是如何工作的;在0bin.net中,声称粘贴是加密的,但不要求密钥。Php 将文本加密到数据库中,php,encryption,Php,Encryption,我正在建立一个简单的网站,用户可以在其中上传文本片段(注释)。便笺将有一个标志“private”,如果为true,我希望对其进行加密,以便即使是我(可以访问数据库的人)也无法读取该便笺。 我知道加密是通过一个密钥进行的,我现在能想到的最好的密钥就是用户密码。显然,密码已散列到数据库中,但我可以在登录$u会话时保存它 这是个好主意吗 例如,在cryptobin.org中,用户被要求输入密码,但在我的网站中,已经注册的用户在登录时插入密码,我不想在每次他上传他的便笺时再问一些新问题,我重复一遍,我需
你能解释一下吗?密钥加密是以拥有秘密为前提的 明文+算法+秘密→ 密文
密文+算法+秘密→ 明文 你提供了算法,明文/密文是感兴趣的主题,而持有秘密的一方拥有谜题的最后一块,从而拥有最终的权力 从这个角度来看,用户的密码是一个很好的选择,因为只有用户应该知道它,没有其他人知道。实际上,这取决于您是否真的无法访问此密码。如果您将密码存储在服务器端,则显然您拥有密码,并且如果您选择,可以使用密码解密密码文本 现在,您建议在会话中临时存储密码。这很好,但接下来就变成了风险评估。谁可以从会话中获取密码?希望除了你没有人,除非你的服务器被破坏了。如果您愿意的话,您仍然有机会自己解密密码文本。此外,以任何形式保留明文密码都会增加密码被过滤到某处(服务器日志、内存转储等)的可能性 如果你被信任处理一个秘密,你需要保护所有与该秘密有关的东西。 这并非不可行,但取决于您对此的重视程度、您所保护的信息的敏感程度以及您希望防止的可能攻击场景的数量,这可能会变得相当复杂,并会一直影响到您的代码所运行的服务器的物理安全性
另一种方法是在客户端(在本机应用程序中,或在浏览器中使用Javascript)执行所有加密,这将免除服务器的许多责任。它带来了新的问题(您现在需要确保Javascript不被篡改),但这些问题更容易管理
很好地总结了0bin的工作原理。随机生成的秘密是生成的URL的一部分,根本不存储在服务器上,所有加密和解密都在浏览器中进行。您可以(应该)探索PHP加密,了解
密钥ivkeyiv