Deutsch
Deutsch
In vielen PHP -Projekten, die seit vielen Jahren oder sogar seit mehr als einem Jahrzehnt verwendet werden, werden Benutzerkennwörter häufig mit der Crypt () -Funktion verschlüsselt. Obwohl dieser Ansatz in der Vergangenheit sehr häufig war, wurde er durch stärkere Algorithmen wie password_hash () und password_verify () gemäß den heutigen Sicherheitsstandards ersetzt. Wenn die Systemmigration oder ein Upgrade jedoch mit alten Daten kompatibel sein, insbesondere wenn wir nicht alle Benutzer dazu zwingen können, ihre Passwörter zurückzusetzen.
In diesem Artikel werden die mit Crypt () verschlüsselten alten Kennwortdaten reibungslos in das neue System migriert und sicherstellen, dass das neue System mit der alten Kennwortüberprüfung kompatibel ist und nach dem Einmeldung des Benutzer nach und nach zu einer sichereren Verschlüsselungsmethode übergehen kann.
PHPs Crypt () -Funktion kann unterschiedliche Verschlüsselungsalgorithmen wie herkömmliche DES, MD5, SHA-256, SHA-512 usw. verwenden. Die Verschlüsselungsmethode hängt vom bereitgestellten "Salz" ab:
DES-Verschlüsselung (Zwei-Zeichen-Salz)
MD5 -Verschlüsselung (Salz beginnend mit $ 1 $ )
SHA-256 Verschlüsselung (Salz beginnend mit 5 USD $ )
SHA-512 Verschlüsselung (Salz beginnend mit 6 USD $ )
Zum Beispiel:
$hashed = crypt('mypassword', '$1$somesalt$'); // verwenden MD5 Verschlüsselung
Bei Überprüfung müssen Sie nur das Klartextkennwort und den vollständigen Hash in Crypt () übergeben:
if (crypt($inputPassword, $storedHash) === $storedHash) {
// Passwortanpassung
}
Ziel ist es, das neue System zu ermöglichen, sowohl das alte Crypt () -Decryption -Passwort als auch das moderne Passwort für passwords () zu unterstützen, und um nahtlose Upgrades abzuschließen, wenn sich der Benutzer anmeldet.
Das Kennwortfeld des alten Systems kann als Passwort bezeichnet werden und speichert das Ergebnis von Crypt () . Das neue System kann dieses Feld weiterhin verwenden oder ein IS_LEGACY -Feld einführen, um zu markieren, ob das Kennwort die alte Verschlüsselungsmethode ist.
Wenn sich der Benutzer anmeldet, muss das System das gespeicherte Kennwortformat bestimmen und die entsprechende Überprüfungsmethode verwenden:
function verifyPassword($inputPassword, $storedHash) {
if (password_get_info($storedHash)['algo'] !== 0) {
// Ja password_hash() Format
return password_verify($inputPassword, $storedHash);
} else {
// Ja crypt() Format
return crypt($inputPassword, $storedHash) === $storedHash;
}
}
Sobald Sie sich erfolgreich mit dem alten Passwort angemeldet haben, sollten Sie das Passwort sofort mit password_hash () neu einstellen und die Datenbank aktualisieren.
function upgradePassword($userId, $inputPassword) {
$newHash = password_hash($inputPassword, PASSWORD_DEFAULT);
// 假设verwenden PDO Stellen Sie eine Verbindung zur Datenbank her
$stmt = $pdo->prepare("UPDATE users SET password = :password WHERE id = :id");
$stmt->execute(['password' => $newHash, 'id' => $userId]);
}
Rufen Sie nach erfolgreicher Überprüfung diese Funktion auf, um ein nahtloses Upgrade zu erzielen.
Obwohl Crypt () selbst nicht sicher ist, können wir dennoch Risiken durch HTTPS und andere Methoden reduzieren. Stellen Sie im System sicher, dass die Anmeldeschnittstelle mit TLS/SSL verschlüsselt wird.
Verwenden Sie beispielsweise die folgende Anmeldeschnittstelle (Pseudocode):
$url = 'https://m66.net/api/login';
Diese Schnittstelle sollte in einer sicheren Serverumgebung bereitgestellt werden, um die Vertraulichkeit und Integrität während der Datenübertragung sicherzustellen.
Das Folgende ist eine vollständige Logik für Anmeldeverarbeitung:
function handleLogin($username, $inputPassword) {
global $pdo;
$stmt = $pdo->prepare("SELECT id, password FROM users WHERE username = :username");
$stmt->execute(['username' => $username]);
$user = $stmt->fetch();
if (!$user) {
return false;
}
$storedHash = $user['password'];
if (verifyPassword($inputPassword, $storedHash)) {
// 如果Ja旧Format密码,Fahren Sie mit dem Upgrade fort
if (password_get_info($storedHash)['algo'] === 0) {
upgradePassword($user['id'], $inputPassword);
}
return true;
}
return false;
}
Es ist ein pragmatischer Ansatz, um die alte Kennwortüberprüfungslogik während der Systemmigration beizubehalten, die nicht nur die Benutzererfahrung garantiert, sondern auch die Sicherheit nicht opfert. Durch die obige Methode können wir eine kompatible Unterstützung für die alte Crypt () -Ververschlüsselungsmethode erreichen und in Zukunft schrittweise zu einem moderneren Verschlüsselungsmechanismus übergehen, um die Sicherheit des Gesamtsystems zu verbessern. Denken Sie immer daran, dass Sicherheit nicht nur eine Option für Verschlüsselungsalgorithmen ist, sondern auch umfassende Überlegungen zur Datenübertragung, Speicherung und Systemarchitektur.
