預(yù)備知識(shí)
在詳細(xì)介紹php的安全功能之前����,我們需要花
點(diǎn)時(shí)間來向沒有接觸過這方面內(nèi)容的讀者介紹一些有關(guān)密碼學(xué)的基本知識(shí)����,如果對密碼學(xué)的基本概念已經(jīng)非常熟悉���,就可以跳過去這一部分。
密碼學(xué)可以通俗地被描述為對加/解密的研究和實(shí)驗(yàn)���,加密是將易懂的資料轉(zhuǎn)換為不易懂資料的過程,解密則是將不易懂的資料轉(zhuǎn)換為原來易懂資料的過程����。不易懂的資料被稱作密碼��,易懂的資料被稱作明碼����。
數(shù)據(jù)的加/解密都需要一定的算法���,這些算法可以非常地簡單�����,如著名的凱撒碼���,但當(dāng)前的加密算法要相對復(fù)雜得多���,其中一些利用現(xiàn)有的方法甚至是無法破譯的。
PHP的加密功能
只要有一點(diǎn)使用非Windows平臺(tái)經(jīng)驗(yàn)的人可能對crypt()也相當(dāng)熟悉�����,這一函數(shù)完成被稱作單向加密的功能��,它可以加密一些明碼,但不能夠?qū)⒚艽a轉(zhuǎn)換為原來的明碼���。盡管從表面上來看這似乎是一個(gè)沒有什么用處的功能��,但它的確被廣泛用來保證系統(tǒng)密碼的完整性�����。因?yàn)椋瑔蜗蚣用艿目诹钜坏┞淙氲谌饺说氖掷��,由于不能被還原為明文���,因此也沒有什么大用處�。在驗(yàn)證用戶輸入的口令時(shí)����,用戶的輸入采用的也是單向算法����,如果輸入與存儲(chǔ)的經(jīng)加密后的口令相匹配���,則輸入的口信一定是正確的��。
PHP同樣提供了使用其crypt()函數(shù)完成單向加密功能的可能性。我將在這里簡要地介紹該函數(shù):
string crypt (string input_string [, string salt])
其中的input_string參數(shù)是需要加密的字符串��,第二個(gè)可選的salt是一個(gè)位字串�,它能夠影響加密的暗碼�����,進(jìn)一步地排除被稱作預(yù)計(jì)算攻擊的可能性。缺省情況下����,PHP使用一個(gè)2個(gè)字符的DES干擾串,如果你的系統(tǒng)使用的是MD5(我將在以后介紹MD5算法)�����,它會(huì)使用一個(gè)12個(gè)字符的干擾串����。順便說一下,可以通過執(zhí)行下面的命令發(fā)現(xiàn)系統(tǒng)將要使用的干擾串的長度:
print "My system salt size is: ". CRYPT_SALT_LENGTH;
系統(tǒng)也可能支持其他的加密算法���。crypt()支持四種算法���,下面是它支持的算法和相應(yīng)的salt參數(shù)的長度:
算法 Salt長度
| 以下為引用的內(nèi)容:
CRYPT_STD_DES 2-character (Default)
CRYPT_EXT_DES 9-character
CRYPT_MD5 12-character beginning with 102/td>
CRYPT_BLOWFISH 16-character beginning with 102/td>
|
用crypt()實(shí)現(xiàn)用戶身份驗(yàn)證
作為crypt()函數(shù)的一個(gè)例子,考慮這樣一種情況�����,你希望創(chuàng)建一段PHP腳本程序限制對一個(gè)目錄的訪問�,只允許能夠提供正確的用戶名和口令的用戶訪問這一目錄����。我將把資料存儲(chǔ)在我喜歡的數(shù)據(jù)庫mysql的一個(gè)表中�����。下面我們以創(chuàng)建這個(gè)被稱作members的表開始我們的例子:
| 以下為引用的內(nèi)容:
mysql>CREATE TABLE members (
->username CHAR(14) NOT NULL,
->password CHAR(32) NOT NULL,
->RIMARY KEY(username)
->);
|
然后�����,我們假定下面的數(shù)據(jù)已經(jīng)存儲(chǔ)在該表中:
| 以下為引用的內(nèi)容:
用戶名 密碼
clark keloD1C377lKE
bruce ba1T7vnz9AWgk
peter paLUvRWsRLZ4U
|
這些加密的口令對應(yīng)的明碼分別是kent�、banner和parker�。注意一下每個(gè)口令的前二個(gè)字母���,這是因?yàn)槲沂褂昧讼旅娴拇a,根據(jù)口令的前二個(gè)字母創(chuàng)建干擾串的:
| 以下為引用的內(nèi)容:
.
= substr(, 0, 2);
= crypt(, );
// 然后就和用戶名一起存儲(chǔ)在MySQL中
|
我將使用Apache的口令-應(yīng)答認(rèn)證配置提示用戶輸入用戶名和口令,一個(gè)鮮為人知的有關(guān)PHP的信息是��,它可以把Apache的口令-應(yīng)答系統(tǒng)輸入的用戶名和口令識(shí)別為和,我將在身份驗(yàn)證腳本中用到這二個(gè)變量�����。花一些時(shí)間仔細(xì)閱讀下面的腳本���,多注意一下其中的解釋����,以便更好地理解下面的代碼:
| 以下為引用的內(nèi)容:
crypt()和Apache的口令-應(yīng)答驗(yàn)證系統(tǒng)的應(yīng)用
= "localhost";
= "zorro";
= "hellodolly";
= "users";
// Set authorization to False
= 0;
// Verify that user has entered username and password
if (isset() && isset()) :
mysql_pconnect(, , ) or die("Can''t connect to MySQL
server!");
mysql_select_db() or die("Can''t select database!");
// Perform the encryption
= substr(, 0, 2);
= crypt(, );
// Build the query
= "SELECT username FROM members WHERE
username = '''' AND
password = ''''";
// Execute the query
if (mysql_numrows(mysql_query()) == 1) :
= 1;
endif;
endif;
// confirm authorization
if (! ) :
header(''WWW-Authenticate: Basic realm="rivate"'');
header(''HTTP/1.0 401 Unauthorized'');
print "You are unauthorized to enter this area.";
exit;
else :
print "This is the secret data!";
endif;
?>
|
上面就是一個(gè)核實(shí)用戶訪問權(quán)限的簡單身份驗(yàn)證系統(tǒng)。在使用crypt()保護(hù)重要的機(jī)密資料時(shí)�,記住在缺省狀態(tài)下使用的crypt()并不是最安全的����,只能用在對安全性要求較低的系統(tǒng)中�,如果需要較高的安全性能��,就需要我在本篇文章的后面介紹的算法���。
下面我將介紹另一個(gè)PHP支持的函數(shù)━━md5(),這一函數(shù)使用MD5散列算法,它有幾種很有趣的用法值得一提:
混編
一個(gè)混編函數(shù)可以將一個(gè)可變長度的信息變換為具有固定長度被混編過的輸出���,也被稱作"信息文摘"。這是十分有用的�,因?yàn)橐粋(gè)固定長度的字符串可以用來檢查文件的完整性和驗(yàn)證數(shù)字簽名以及用戶身份驗(yàn)證���。由于它適合于PHP,PHP內(nèi)置的md5()混編函數(shù)將把一個(gè)可變長度的信息轉(zhuǎn)換為128位(32個(gè)字符)的信息文摘������;炀幍囊粋(gè)有趣的特點(diǎn)是不能通過分析混編后的信息得到原來的明碼�,因?yàn)榛炀幒蟮慕Y(jié)果與原來的明碼內(nèi)容沒有依賴關(guān)系。 即便只改變一個(gè)字符串中的一個(gè)字符�����,也將使得MD5混編算法計(jì)算出二個(gè)截然不同的結(jié)果����。我們首先來看下表的內(nèi)容及其相應(yīng)的結(jié)果:
使用md5()混編字符串
plsql developer怎么連接數(shù)據(jù)庫-plsql deve
2021年最好用的10款php開發(fā)工具推薦
在 PHP 中使用命令行工具
php應(yīng)用程序安全防范技術(shù)研究