PHP中使用crypt()實現使用者身分識別驗證

來源:互聯網
上載者:User
  在開發PHP應用中如果不想自己開發新的密碼編譯演算法,還可以利用PHP提供的crypt()函數來完成單向加密功能。

   瞭解crypt()

  只要有一點使用非Windows平台經驗的讀者都可能對crypt()相當熟悉,這一函數完成被稱作單向加密的功能,它可以加密一些明碼,但不能反過來將密碼重新轉換為原來的明碼。crypt()函數定義如下。

  string crypt (string input_string [, string salt])

  其中,input_string參數是需要加密的明文字串,第二個可選的salt是一個位字串,能夠影響加密的暗碼,進一步排除被破解的可能性。預設情況下,PHP使用一個2個字元的DES幹擾串,如果系統使用的是MD5(參考下一節內容),PHP則會使用一個12個字元的幹擾串。可以通過執行下面的命令發現系統將要使用的幹擾串的長度。

  print "My system salt size is: ". CRYPT_SALT_LENGTH;

  crypt()支援4種密碼編譯演算法,表19.1顯示了其支援的演算法和相應的salt參數的長度。

  表crypt()支援四種密碼編譯演算法

演算法 Salt長度
CRYPT_STD_DES 2-character (Default)
CRYPT_EXT_DES 9-character
CRYPT_MD5 12-character beginning with $1$
CRYPT_BLOWFISH 16-character beginning with $2$

  從表面上看,crypt()的函數似乎沒有什麼用處,但該函數的確被廣泛用來保證系統密碼的完整性。因為,單向加密的口令即使落入第三方的手裡,由於不能被還原為明文,也沒有什麼大用處。

   用crypt()實現使用者身分識別驗證

  上一部分簡單介紹了crypt()函數的功能,下面利用其來實現使用者的身分識別驗證,其所要實現的目標同19.2.3節所介紹的一致。

1 <!--check_user_crypt.php:使用crypt() 函數驗證使用者---------------->
2 <?php
3 $user_name=$_POST["user_name"];
4 require_once("sys_conf.inc"); //系統設定檔,包含資料庫配置資訊
5
6 //串連資料庫
7 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
8 mysql_select_db($DBNAME); //選擇資料庫my_chat
9
10 //查詢是否存在登入使用者資訊
11 $str="select name,password from user where name ='$user_name'";
12 $result=mysql_query($str,$link_id); //執行查詢
13 @$rows=mysql_num_rows($result); //取得查詢結果的記錄筆數
14 $user_name=$_SESSION["user_name"];
15 $password=$_POST["password"];
16 $salt = substr($password, 0, 2);
17 $password_en=crypt($password,$salt); //使用crypt()對使用者密碼進行加密
18
19 //對於老使用者
20 if($rows!=0)
21 {
22 list($name,$pwd)=mysql_fetch_row($result);
23
24 //如果密碼輸入正確
25 if($pwd==$password_en)
26 {
27 $str="update user set is_online =1 where name ='$user_name' and password='$password_en'";
28 $result=mysql_query($str, $link_id);//執行查詢
29 require("main.php"); //轉到聊天頁面
30 }
31 //密碼輸入錯誤
32 else
33 {
34 require("relogin.php");
35 }
36
37 }
38 //對於新使用者,將其資訊寫入資料庫
39 else
40 {
41 $str="insert into user (name,password,is_online) values('$user_ name','$password_en',1)";
42 $result=mysql_query($str, $link_id); //執行查詢
43 require("main.php"); //轉到聊天頁面
44 }
45 //關閉資料庫
46 mysql_close($link_id);
47 ?>
  樣本與上一節所介紹的使用XOR密碼編譯演算法來保護使用者資訊非常類似,其核心部分在於第16、17行使用crypt()函數擷取加密後的密碼,而通過在第25行比較資料庫中的密碼和加密後的密碼是否相等來檢查使用者是否合法。

  下面,通過一個執行個體來看一下加密後的密碼會變成什麼樣子。

  例如,使用者名稱為rock,密碼為123456,則加密後的密碼為:

  12tir.zIbWQ3c

  上面就實現了一個簡單的使用者身分識別驗證系統。在使用crypt()保護重要的機密資訊時,需要注意的是,在預設狀態下使用crypt()並不是最安全的,只能用在對安全性要求較低的系統中。

相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。