1

ユーザーの MSSQL データベースに接続して情報を収集する Web サイトを開発しています。ユーザーは異なる MSSQL データベース アカウントに割り当てられ、MySQL DB 内に保存されている IP、ユーザー名、およびパスワードを使用してそれらに接続します。

現在、私が持っているのは、AES が必要に応じてパスワードを暗号化/復号化する PHP です。それは正しくないようです。データベースを調べてもプレーンテキストのパスワードが表示されないようにします (これは間違いなく良いことです) が、そのセキュリティ レベルについては納得できません。

ハッシュは素晴らしいものであり、パスワードが二度と必要ない場合はすべてですが、私はそうします. そのため、サイトのこの特定の側面に妥当なレベルのセキュリティを実装する方法がよくわかりません。

どんな提案も素晴らしいでしょう。私は完全に間違っていて、ばかです。これを行うための非常に優れた方法はありますか?

4

1 に答える 1

1

明らかに、パスワードを MS SQL に送信する場合は、値を逆にする必要があります。ここでは、暗号化が最も正しい答えだと思います。どちらの方法でも、コードはこのパスワードを推定できます。そうしないと、接続できません。

セキュリティを強化したい場合は、ユーザー名から計算されたチェックサムを使用して暗号化をシードできます...ただし、ユーザー名が変更された場合は、復号化して再暗号化する必要があります. これは、あなたが AES を使用していることを知っているかもしれない「他の人」にとって、少しだけ難しくなります。

しかし、結局のところ、暗号化を解除する必要があるため、いつでもパスワードを知ることができます。この状況でできることは限られています。最善の方法は、パスワードが必要になるたびにユーザーにパスワードを要求することです。

于 2012-05-03T19:57:32.800 に答える