0

SQLとPHPの知識を広げようとしているので、作業中のプロジェクトでユーザー資格情報のハッシュデータベースエントリを作成する方法を理解しようとしています。現在、計画段階ではすべてをセッションCookieに保存していますが、最終製品ではすべてをサーバーに保存したいと考えています。文字列のソルト/ハッシュに関するドキュメントが少しありますが、保存方法がわからず、保存されたハッシュが適切かどうかを確認します。

<?php
    $username = $_GET["$us"];
    $password = $_GET["$pa"];
    $expire = time()+60*60*24*14; //Cookies expire in two weeks
    setcookie("username", $username, $expire);
    setcookie("password", $password, $expire);
?>

現在、上記のコードを使用して、login-submit.phpページに$usと$paを投稿するログインページがあります。md5などを使用してハッシュした場合、データベースにどのように保存し、ログインページからプルアップしたときに、パスワードが正しいかどうかを確認しますか?私は考えていました:

<?php
    $userhash = md5($us);
    $passhash = md5($pa);
    $rows = $db->query("
        INSERT INTO credentials
        VALUES ($passhash, $userhash);"
    );
?>

これで大丈夫ですか?余談ですが、データベースにユーザーが存在するかどうかを確認するにはどうすればよいですか。存在する場合は、md5ハッシュをプレーンテキストに戻し、操作できるようにします。

4

4 に答える 4

2

  1. クッキーを使用しないでください。セッションを使用します。(セッションは自動的にサーバーに保存し、Cookie を使用して取得します)。

  2. 次に、MD5 はパスワードに対して安全ではありません。衝突があり、ブルート フォース攻撃に対して脆弱です。この質問に対する最初の回答を参照してください:ユーザーのパスワードを安全に保存するにはどうすればよいですか?

于 2013-01-01T20:28:16.097 に答える
2

Cookie を使用する代わりに、セッションを使用して、データをサーバー側に保存します。パスワードの暗号化には、 crypt()を使用した非常に安全なフグ アルゴリズムを使用します。

于 2013-01-01T21:34:32.363 に答える
2

これはおそらく、パスワードをハッシュするために私が見つけた最高のスクリプトです。すべての優れたユーザー サイトは、後でではなく、最初にログイン スクリプトから開始する必要があります。

パスワードのハッシュ

これを使用して、データベース挿入用のパスワードを準備するクラスを作成しましたが、うまく機能します。

クラスは次のとおりです。

    <?php
/**
* User Login Class
*
* LICENSE:      (http://www.gnu.org/licenses/old-licenses/gpl-2.0.html GNU Public License version 2)
*
* COPYRIGHT:    Finley Designs
* CONTACT:      ffrinfo@yahoo.com
* DESIGNED BY:  Roy Finley
* VERSION:  1.0
* Password hashing with PBKDF2.
* This class uses the pdkdf2 functions designed by : havoc AT defuse.ca : www: https://defuse.ca/php-pbkdf2.htm
* 
*/
class PasswordProcessor
{
//CREATE HASH FROM USER PASSWORD FOR NEW USER OR LOST PASSWORD
public function create_hash($password)
{
    // format: algorithm:iterations:salt:hash
    $salt = base64_encode(mcrypt_create_iv(24, MCRYPT_DEV_URANDOM));
    return  "sha256:1000:" .  $salt . ":" . 
        base64_encode($this->pbkdf2(
            "sha256",
            $password,
            $salt,
            1000,
            24,
            true
        ));
}
//VALIDATE USER PASSWORD
public function validate_password($password, $good_hash)
{
    $params = explode(":", $good_hash);
    if(count($params) < 4)
       return false; 
    $pbkdf2 = base64_decode($params[3]);
    return $this->slow_equals(
        $pbkdf2,
        $this->pbkdf2(
            $params[0],
            $password,
            $params[2],
            (int)$params[1],
            strlen($pbkdf2),
            true
        )
    );
}

// COMPARE TWO STRINGS IN LENGTH-CONSTANT TIME.
private function slow_equals($a, $b)
{
    $diff = strlen($a) ^ strlen($b);
    for($i = 0; $i < strlen($a) && $i < strlen($b); $i++)
    {
        $diff |= ord($a[$i]) ^ ord($b[$i]);
    }
    return $diff === 0; 
}
//HASHING ALGORITHM
private function pbkdf2($algorithm, $password, $salt, $count, $key_length, $raw_output = false)
{
    $algorithm = strtolower($algorithm);
    if(!in_array($algorithm, hash_algos(), true))
        die('PBKDF2 ERROR: Invalid hash algorithm.');
    if($count <= 0 || $key_length <= 0)
        die('PBKDF2 ERROR: Invalid parameters.');

    $hash_length = strlen(hash($algorithm, "", true));
    $block_count = ceil($key_length / $hash_length);

    $output = "";
    for($i = 1; $i <= $block_count; $i++) {
        // $i encoded as 4 bytes, big endian.
        $last = $salt . pack("N", $i);
        // first iteration
        $last = $xorsum = hash_hmac($algorithm, $last, $password, true);
        // perform the other $count - 1 iterations
        for ($j = 1; $j < $count; $j++) {
            $xorsum ^= ($last = hash_hmac($algorithm, $last, $password, true));
        }
        $output .= $xorsum;
    }

    if($raw_output)
        return substr($output, 0, $key_length);
    else
        return bin2hex(substr($output, 0, $key_length));
}
}//CLOSE PasswordProcessor CLASS
?>

これはユーザー認証のほんの一部であることを覚えておいてください..... Google で検索して、読んで、読んで、読んでください その他の確認事項

  • データベースには 2 人のユーザーが必要です。1 人はログイン用に読み取り専用で、もう 1 人は登録スクリプト用に読み取りと書き込みができます。

  • 登録フォームで Captcha を使用する

  • ログインのどの部分が失敗したかをユーザーに決して伝えないでください。

于 2013-01-01T21:36:12.993 に答える
1

入力された (パスワード + ソルト) のハッシュを、保存されている (パスワード + ソルト) のハッシュと比較します。また、ソルトをデータベースに保存する必要があります。

編集: ユーザー名をハッシュする必要はありません。ハッシュから抽出することはできません。ただし、暗号化することはできます。

于 2013-01-01T20:28:02.027 に答える