問題タブ [password-hash]

ユーザー用のパスワードフィールドがあり、データベースに保存されるとパスワードが暗号化されます。

また、ユーザーを編集しようとすると、パスワード フィールドがハッシュされます。

ただし、ハッシュ化されたフィールドは、暗号化の長さのために数百文字の長さになります。

代わりに 8 文字だけを表示する方法はありますか?

これは保存後に表示されるもので、理想的ではありません。

私はphpでweb2pyで行われたパスワードハッシュを実装するつもりはありません.今、web2pyで作成されたmassimo depieroからそれを行う方法についていくつかの指示を受けましたが、私はまだphpでそれを実装できません.次のような指示:

多くのオプションを処理し、下位互換性を維持する必要があるため、ロジックは非常に複雑です。

通常、ハッシュされたパスワードは次のようになります

algorithm$salt$hash algorithm$$hash (salt なし) ハッシュ (レガシー)

ハッシュは、アルゴリズム、ソルト、およびオプションでユーザーが指定したキーを使用して計算されます。キーは一意です。ソルトはパスワードごとに異なります。

CRYPT()('password') を呼び出すたびに、LazyCrypt オブジェクトを取得します。このオブジェクトは、文字列にシリアル化できます。ランダムなソルトが含まれているため、得られる文字列は常に異なります。同じパスワードであっても、常に false になるため、これらの文字列の 2 つを比較することはできません。ただし、LazyObject を文字列と比較すると、遅延オブジェクトは同じアルゴリズムと文字列からの同じソルトを使用してハッシュを計算し、それを文字列内のハッシュと比較します。例：

以下は、その暗号化を実装するために web2py フレームワークで使用されるクラスです:

よろしくお願いします。

この関数 (部分的に ~2 年前の phpBB バージョンから取得したもの) で十分かどうか疑問に思っています。

そうでない場合、なぜですか？
また、どのように変更しますか (既存のユーザーがシームレスに移行できるようにします) ?

hash_pwd() の結果が DB に保存されます。

PHPの暗号化機能を理解するのに少し苦労しています。私のPHPバージョンは5.4.7です。

私が聞いた限りでは、md5 を使用してパスワードをハッシュする開発者は、その場で賭けられて燃やされるため、crypt を使用してソルト化されたパスワードをデータベースに保存したいと考えています。

フグ alg を使用してハッシュを生成したかったのです。現在、php のドキュメントによると、「$2y$」 + コスト (例: 「08」) + 「$」 + 22 文字のソルト ( ./0-9A-Za-z ) で呼び出すと、クリプトはフグを使用します。 . ただし、この小さなテスト コードの出力は、私を混乱させます。

出力：

どうやら、crypt は、salt が十分な長さでない場合、$ で埋めます。ソルトが変化すると、ハッシュも変化します。したがって、1 行目と 2 行目の出力は期待どおりです。

しかし、私を困惑させているのは、最後の 3 つのハッシュです。明らかに、ドットはソルトからハッシュを分離します (?) が、実際に crypt にソルトとして要求される 22 文字を与えると、ドットは消えます。また、ソルトの最後の文字は出力に表示されませんが、21 文字のソルトと比較してハッシュが変更されます。

特に紛らわしいのは、出力の 3 行目と 4 行目です。ソルトは明らかに異なりますが、ハッシュはまったく同じです。これには一貫性が見られず、助けていただければ幸いです。

データベースにソルトを使用した PHP ログイン スクリプトがありますが、登録スクリプトには次のように表示されます。

ログインの場合：

MD5 を置き換えることができるコードはありますか? より安全なもの？

SHA1か何かについて聞いたことがあります。

私たちのプロジェクトでは、salt コマンドを使用してパスワードを暗号化しようとしていますが、機能していないようです。これは私たちがこれまでに持っているものです:

mysql への接続は機能していますが、どうやら何かがおかしいようです。パスワード変数は別のコード ページから投稿されており、その部分も機能しています。

次のコードは機能しません。

ログインページ:

データベースへの挿入に使用されるコード:

誰かが私が間違っていることを指摘できますか?