php中密码的加密处理及安全措施

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了php中密码的加密处理及安全措施相关的知识,希望对你有一定的参考价值。

在数据库中保存明文密码是非常不明智的选择,其危害不言而喻。

这里就不讨论明文密码的缺点了,只谈谈如何安全的保存密码。

基本的安全措施如下:

1.设置密码最小位数

2.将用户的密码加密保存

3.通过密码重置的一次性链接修改密码

4.同一IP或mac地址一天内只能获取3次重置邮件

5.用户修改密码时需输入原密码

当然还可以采取更安全的措施:

6.不常用设备登陆需手机短信验证(需要短信平台)

7.设置安全问答信息

8.记录错误登陆请求信息,多次错误后拒绝登陆尝试

--------------------------------------------------------------------------

第一项:密码的加密保存

通常情况下md5是最常用也是最简单方法,但也是破解方法最多,最不安全的一种方法。

php 5.5及以上版本中提供了Password Hashing API, 非常方便的解决了密码加密问题

http://tw2.php.net/manual/zh/ref.password.php

密码加密

<?php
//$hash就是密码加密后的字符串
$options = [
    ‘cost‘ => 10
    //‘salt‘ => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM), 不推荐手动设置盐值
];
$hash = password_hash("123456", PASSWORD_BCRYPT, $options);
?>

注意手动设置盐值在这里不被推荐,在php7里已经废掉这个选项。

-------------------

顺道解释一下什么是 cost(消耗) 和 salt(盐值)

cost:消耗--是用来对付暴力破解的,随着计算机速度的不断提升,我们可以让一台计算机几十年不关机来破解一个密码,所以我们人为的加上一个消耗值,使计算机的算法变慢一点,当然变慢的这一点对单次运算影响不大,但暴力破解时间就要延长到几千上万年了。

salt:盐值--用于对付彩虹表(不知道自行百度一下),盐值作为一个干扰项,使每次hash产生的密文均不相同,抵御彩虹表破解。

-------------------

密码验证

//$hash,从数据库里读取的加密字符串
if (password_verify(‘password‘, $hash)) {
    //验证通过
} else {
    //验证错误
}

检查加密措施是否需要升级

//检查hash是否由bcrypt加密,如果不是则需要升级,返回true
if (password_needs_rehash ($current_hash, PASSWORD_BCRYPT)) {
   $new_hash = password_hash($password, PASSWORD_BCRYPT)
}

获取加密信息

password_get_info只能用于password_hash生成的hashing

-----------------------------------------------

如果你使用的是php5.5以下版本,可用以下方法(也是我现在使用的方法,原理上是一样的)替代:

class Password {

    private static $algo = ‘$2a‘, $cost = ‘$10‘;
    
    public static function unique_salt() {

        return substr(sha1(mt_rand()),0,22);

    }

    public static function hash($password) {

        return crypt($password,
            self::$algo .
            self::$cost .
            ‘$‘ . self::unique_salt());

    }

    public static function check_password($hash, $password) {

        $full_salt = substr($hash, 0, 29);

        $new_hash = crypt($password, $full_salt);

        return ($hash === $new_hash);

    }
    
}

-------------------------

第二项:密码的一次性的重置链接

一次性链接有这么两特点:

  1. 在链接生成的一定时间内(比如24小时)点击有效

  2. 一旦密码被重置,链接立即失效

既然这样,就需要记录链接的是否过期,有以下几种思路:

  1. 数据库中保存链接生成时间和链接是否已被使用(考虑用一个字段记录信息)。

  2. 利用opcode缓存,需要安装xcache或其他类似工具

我现在用的便是xcahce,主要考虑到保存到库中会增加开销。

public function generate_link($username,$hash){

        if (function_exists(‘xcache_isset‘)) {

            $unique_id = md5($username);
            
            xcache_set($unique_id, $username, 24*60*60);

            $string = $unique_id.md5($username.$hash);

            //生成重置密码的链接
            $link = $_SERVER[‘SERVER_NAME‘]."/reset-password?p=".$string;

            return $link;

        }

    }

//检查链接是否合法
public function check_link($p){

        if (function_exists(‘xcache_isset‘)) {

            $unique_id = substr($p, 0, 32);

            if(xcache_isset($unique_id)){

                $username = xcache_get($unique_id);

                $hash = findHashByUsername($username);//通过username读取hash

                $link_md5 = substr($p,32);

                if($link_md5 === md5($username.$hash)){

                    //链接验证成功

                }else{

                    redirect();

                }


            }else{

                redirect();
            }

        }

    }

记住密码重置后要立即清除$unique_id的缓存

if(updateSchoolLogin($username,$password)){
     xcache_unset($unique_id);
}

第三项:设置同一IP一天内的重置密码次数限制

和一次性链接很像,也有两种思路:

  1. 将ip存到数据库

  2. 将ip信息通过xcache保存

我就只给大家提供一个获取ip的函数了,其他的大家自己补充吧

public static function validip($ip) {
		if (!empty($ip) && ip2long($ip)!=-1) {
			$reserved_ips = array (
			array(‘0.0.0.0‘,‘2.255.255.255‘),
			array(‘10.0.0.0‘,‘10.255.255.255‘),
			array(‘127.0.0.0‘,‘127.255.255.255‘),
			array(‘169.254.0.0‘,‘169.254.255.255‘),
			array(‘172.16.0.0‘,‘172.31.255.255‘),
			array(‘192.0.2.0‘,‘192.0.2.255‘),
			array(‘192.168.0.0‘,‘192.168.255.255‘),
			array(‘255.255.255.0‘,‘255.255.255.255‘)
			);
			foreach ($reserved_ips as $r) {
				$min = ip2long($r[0]);
				$max = ip2long($r[1]);
				if ((ip2long($ip) >= $min) && (ip2long($ip) <= $max)) return false;
			}
			return true;
		} else {
			return false;
		}
	}

public static function getip() {
        if (self::validip($_SERVER["HTTP_CLIENT_IP"])) {
            return $_SERVER["HTTP_CLIENT_IP"];
        }
        
        if(isset($_SERVER["HTTP_X_FORWARDED_FOR"])){
            foreach (explode(",",$_SERVER["HTTP_X_FORWARDED_FOR"]) as $ip) {
                if (self::validip(trim($ip))) {
                    return $ip;
                }
            }
        }
        
        $keys = array("HTTP_X_FORWARDED","HTTP_FORWARDED_FOR","HTTP_FORWARDED");
        
        foreach ($keys as $key){
            if (self::validip($_SERVER[$key])) {
                 return $_SERVER[$key];
            }
        }
        
        return $_SERVER["REMOTE_ADDR"];
   }

本文出自 “黑暗森林” 博客,转载请与作者联系!

以上是关于php中密码的加密处理及安全措施的主要内容,如果未能解决你的问题,请参考以下文章

26 信息加密技术及密钥安全管理

26 信息加密技术及密钥安全管理

十大措施保证系统安全性

PHP网站常见安全漏洞 及相应防范措施总结

详解PHP处理密码的几种方式(收藏)

php中如何对提交表单地址栏参数进行加密或者隐藏,或者其他安全性的处理