比较散列密码

Question

我有一个登记表进行登记的用户和密码加密后的

$password=crypt($_POST['password']); 

然后我这个存储直冲没有做别的数据库;

然而，在登录表单，当我尝试比较提交的密码存储在数据库中的加密的密码如下，

$error = array(); 
$password=""; 
$name=""; 
if (empty($_POST['name'])) 
{ 
    //if the email supplied is empty 
    $error[] = 'You forgot to enter your username'; 
} 
else 
{ 
    $name=$_POST['name']; 
} 

if (empty($_POST['password'])) 
{ 
    $error[] = 'Please Enter Your Password '; 
} 
else 
{ 
    $password =crypt($_POST['password']); 
} 

if (empty($error)) 
{ 

    $query="SELECT * FROM mytable WHERE (name='$name' AND pass='$password') AND Activation IS NULL"; 
    $result=mysql_query($query); 
    if(!$result){} 
    else 
    { 
     $numRow=mysql_num_rows($result); 
     if ($numRow != 0) 
     { 

     } 
     else 
     { 
      echo "Incorrect password or unactivated account"; 
     } 
    } 
} 

我已经得到了错误信息。

Answer 1

显示加密密码的示例。从If no salt is provided, PHP will auto-generate either a standard two character (DES) salt, or a twelve character (MD5), depending on the availability of MD5 crypt().

你必须提供“盐”为了加密明文口令和你曾经之前，你存储在DB来获得相同的字符串可能出现的问题。

如果您的密码是由DES加密的，那么'salt'是加密密码的前两个字母。如果通过MD5加密（加密密码的前3个符号将为$1$），那么'盐'就是最后一个$符号的所有内容。

使用http://www.php.net/md5通过MD5算法对密码进行直接散列。结果在字符串的开头不会有$1$，并且不会依赖于任何“盐”。但典型的建议是添加一些简单的密码（附加/预先固定一些固定的字符串）或反转（改变密码中的字母顺序）。 MD5散列对于用作密码标准的非修饰的词语可以通过函数crypt产生所谓rainbow tables

实施例中找到..

标准DES：rl.3StKT.4T8M < - “盐”是rl

MD5：1 $ $ $ rasmusle rISCgZzpwk3UhDidwXvin0 < - '盐' 是代码的$1$rasmusle$

实施例：

echo crypt('password'); 
// outputs for every run are 
// $1$7M..C...$jQqGlQDmVfEJxd4iCJV.E/ 
// $1$jc5.wU..$8WgdKMca.kq82JrdXGoSF. 
// and so on 
// but ! 
echo crypt('password', '$1$7M..C...$'); 
// outputs 
// $1$7M..C...$jQqGlQDmVfEJxd4iCJV.E/ 
// and 
echo crypt('password', '$1$jc5.wU..$'); 
// outputs 
// $1$jc5.wU..$8WgdKMca.kq82JrdXGoSF.