安全,加密最常用于用户密码处理中,相伴的经常还有用户登录的实现,相关一类的知识点和常用操作归到这第三篇
大纲
- 加密函数
- cookie
- session
加密函数
php加密函数主要有三个,都是输出一个字节串,而且是不可逆的,但是这样还不安全,“彩虹表”的出现严重降低了这个操作的安全性。
应对措施是加盐,生成一个随机数,我们称之为salt,然后在数据库中记录salt和h=hash(pwd + salt),查询的时候,得到用户的口令p,然后从数据库中查出salt,计算hash(p+salt),看是不是等于h,等于就是对的,不等于就是不对的。
| - | - | - |
|---|---|---|
| sha1 | 计算字符串的 sha1 散列值 | string sha1 ( string $str [, bool $raw_output = false ] ) |
| md5 | 计算字符串的 MD5 散列值 | string md5 ( string $str [, bool $raw_output = false ] ) |
| crypt | 单向字符串散列 | string crypt ( string $str [, string $salt ] ) |
典型代码
<?php
/**
*生成盐
**/
public function salt(){
$str = 'asdfjlaskjf09[uuqtoi*&^*43hq5kja9430597(*&)]';
return substr(str_shuffle($str),0,8);
/**
*注册
**/
public function reg(){
if(IS_POST){
$userModel = D('User');
if(!$userModel->create()){
echo $userModel->getError();
exit;
}
$s = $this->salt();
$userModel->password = md5($userModel->password.$s);
$userModel->salt = $s;
$userModel->add();
}
$this->success('注册成功', ,2);
}
/**
*登录
**/
public function login(){
if(IS_POST){
$username = I('post.username');
$pwd = I('post.password');
$userModel = D('user');
$userinfo = $userModel->where(array('username'=>$username))->find();
if(!$userinfo){
$this->error('用户名错误','',2);
}
if($userinfo['password']!==md5($pwd.$userinfo['salt'])){
$this->error('密码错误','',2);
}else {
$this->success('登录成功', ,1);
exit();
}
}
$this->display();
}
?>
相关文章
加盐 MD5 SHA1 安全
没知识真可怕——应用密码学的笑话之MD5+Salt不安全
cookie 和 session
我看的两本书都写的比较生硬,网上这篇比较好理解
引用理解Cookie和Session机制
cookie.png
session.png
| 创建cookie | bool setcookie(string name[,string value[,int expire[,string path[,string domain[,int secure]]]]]) |
| 读取 | $_COOKIE['name'] |
| 销毁cookie | setcookie('name','',time()-1); |
| 开始会话 | session_start(); |
| 注册会话变量 | $_SESSION['k']='v' |
| 使用会话变量 | $_SESSION['k'] |
| 销毁会话 | unset($_SESSION['k']); |
一个设置和读取cookie的例子
<?php
if(!isset($_COOKIE['visittime'])){
setcookie('visittime',date("y-m-d H:i:s"));
echo:'欢饮您第一次访问网站';
}else{
echo'您上次访问网站的时间为'.$_COOKIE['visittime'];
setcookie('visittime',date("y-m-d H:i:s"));
echo <br>;
}
echo '您本次访问网站的时间为:'.date("y-m-d H:i:s");
?>
