可能的重复: PHP 2-way加密:我需要存储可以检索的密码
我计划在我的网站上为我的用户存储国外帐户信息,又名rapidshare用户名和密码等…我想保证信息的安全,但我知道如果我散列了他们的信息,我就不能检索它以供以后使用。
Base64是可解密的,所以直接关闭没有意义。 我的想法是打乱用户并在它被base64ed之前和之后传递即使在你解密它之后,如果你试图解密,你会得到一些有趣的文本。是否有一个php函数,它接受的值将对字符串进行唯一的打乱,并在稍后重新输入值时解除打乱?
有什么建议吗?
当前回答
即使您可以访问代码,对数据库中的数据进行加密/解密的最佳方法是使用两个不同的密码:每个用户的私有密码(user-pass)和所有用户的私有代码(system-pass)。
场景
user-pass与md5一起存储在数据库中,用于验证每个用户登录到系统。这个用户通行证对于每个用户都是不同的。 数据库中的每个用户条目都有一个用于数据加密/解密的系统密码。这个system-pass对于每个用户都是相同的。 每当用户从系统中删除时,所有在旧系统密码下加密的数据都必须在新的系统密码下再次加密,以避免安全问题。
其他回答
在处理加密时,有一件事你应该非常清楚:
试图变得聪明,发明自己的东西通常会给你留下一些不安全的东西。
最好使用PHP附带的一种加密扩展。
这只能给你提供边际保护。如果攻击者可以在您的应用程序中运行任意代码,他们就可以以与您的应用程序完全相同的方式获得密码。如果您在文件中存储了一个秘密密钥,并使用它在进入db时加密,在退出时解密,您仍然可以从一些SQL注入攻击和错误的db备份中获得一些保护。但是您应该使用bindparams来完全避免SQL注入的问题。
如果决定加密,你应该使用一些高级加密库,否则你会出错。您必须正确地设置密钥、消息填充和完整性检查,否则所有加密工作都毫无用处。例如,GPGME就是一个很好的选择。Mcrypt水平太低,你可能会弄错。
即使您可以访问代码,对数据库中的数据进行加密/解密的最佳方法是使用两个不同的密码:每个用户的私有密码(user-pass)和所有用户的私有代码(system-pass)。
场景
user-pass与md5一起存储在数据库中,用于验证每个用户登录到系统。这个用户通行证对于每个用户都是不同的。 数据库中的每个用户条目都有一个用于数据加密/解密的系统密码。这个system-pass对于每个用户都是相同的。 每当用户从系统中删除时,所有在旧系统密码下加密的数据都必须在新的系统密码下再次加密,以避免安全问题。
安全警告:此代码不安全。
工作示例
define('SALT', 'whateveryouwant');
function encrypt($text)
{
return trim(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, SALT, $text, MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND))));
}
function decrypt($text)
{
return trim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, SALT, base64_decode($text), MCRYPT_MODE_ECB, mcrypt_create_iv(mcrypt_get_iv_size(MCRYPT_RIJNDAEL_256, MCRYPT_MODE_ECB), MCRYPT_RAND)));
}
$encryptedmessage = encrypt("your message");
echo decrypt($encryptedmessage);
安全警告:此代码不安全。除了容易受到选择密文攻击之外,它对unserialize()的依赖使其容易受到PHP对象注入的攻击。
要处理字符串/数组,我使用这两个函数:
function encryptStringArray ($stringArray, $key = "Your secret salt thingie") {
$s = strtr(base64_encode(mcrypt_encrypt(MCRYPT_RIJNDAEL_256, md5($key), serialize($stringArray), MCRYPT_MODE_CBC, md5(md5($key)))), '+/=', '-_,');
return $s;
}
function decryptStringArray ($stringArray, $key = "Your secret salt thingie") {
$s = unserialize(rtrim(mcrypt_decrypt(MCRYPT_RIJNDAEL_256, md5($key), base64_decode(strtr($stringArray, '-_,', '+/=')), MCRYPT_MODE_CBC, md5(md5($key))), "\0"));
return $s;
}
它很灵活,因为你可以通过URL存储/发送字符串或数组,因为字符串/数组在加密之前是序列化的。
