時(shí)間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
預(yù)備知識(shí)
在詳細(xì)介紹php的安全功能之前,我們需要花
點(diǎn)時(shí)間來向沒有接觸過這方面內(nèi)容的讀者介紹一些有關(guān)密碼學(xué)的基本知識(shí),如果對密碼學(xué)的基本概念已經(jīng)非常熟悉,就可以跳過去這一部分。
密碼學(xué)可以通俗地被描述為對加/解密的研究和實(shí)驗(yàn),加密是將易懂的資料轉(zhuǎn)換為不易懂資料的過程,解密則是將不易懂的資料轉(zhuǎn)換為原來易懂資料的過程。不易懂的資料被稱作密碼,易懂的資料被稱作明碼。
數(shù)據(jù)的加/解密都需要一定的算法,這些算法可以非常地簡單,如著名的凱撒碼,但當(dāng)前的加密算法要相對復(fù)雜得多,其中一些利用現(xiàn)有的方法甚至是無法破譯的。
PHP的加密功能
只要有一點(diǎn)使用非Windows平臺(tái)經(jīng)驗(yàn)的人可能對crypt()也相當(dāng)熟悉,這一函數(shù)完成被稱作單向加密的功能,它可以加密一些明碼,但不能夠?qū)⒚艽a轉(zhuǎn)換為原來的明碼。盡管從表面上來看這似乎是一個(gè)沒有什么用處的功能,但它的確被廣泛用來保證系統(tǒng)密碼的完整性。因?yàn)椋瑔蜗蚣用艿目诹钜坏┞淙氲谌饺说氖掷,由于不能被還原為明文,因此也沒有什么大用處。在驗(yàn)證用戶輸入的口令時(shí),用戶的輸入采用的也是單向算法,如果輸入與存儲(chǔ)的經(jīng)加密后的口令相匹配,則輸入的口信一定是正確的。
PHP同樣提供了使用其crypt()函數(shù)完成單向加密功能的可能性。我將在這里簡要地介紹該函數(shù):
string crypt (string input_string [, string salt])
其中的input_string參數(shù)是需要加密的字符串,第二個(gè)可選的salt是一個(gè)位字串,它能夠影響加密的暗碼,進(jìn)一步地排除被稱作預(yù)計(jì)算攻擊的可能性。缺省情況下,PHP使用一個(gè)2個(gè)字符的DES干擾串,如果你的系統(tǒng)使用的是MD5(我將在以后介紹MD5算法),它會(huì)使用一個(gè)12個(gè)字符的干擾串。順便說一下,可以通過執(zhí)行下面的命令發(fā)現(xiàn)系統(tǒng)將要使用的干擾串的長度:
print "My system salt size is: ". CRYPT_SALT_LENGTH;
系統(tǒng)也可能支持其他的加密算法。crypt()支持四種算法,下面是它支持的算法和相應(yīng)的salt參數(shù)的長度:
算法 Salt長度
以下為引用的內(nèi)容:
CRYPT_STD_DES 2-character (Default) |
用crypt()實(shí)現(xiàn)用戶身份驗(yàn)證
作為crypt()函數(shù)的一個(gè)例子,考慮這樣一種情況,你希望創(chuàng)建一段PHP腳本程序限制對一個(gè)目錄的訪問,只允許能夠提供正確的用戶名和口令的用戶訪問這一目錄。我將把資料存儲(chǔ)在我喜歡的數(shù)據(jù)庫mysql的一個(gè)表中。下面我們以創(chuàng)建這個(gè)被稱作members的表開始我們的例子:
以下為引用的內(nèi)容:
mysql>CREATE TABLE members ( |
然后,我們假定下面的數(shù)據(jù)已經(jīng)存儲(chǔ)在該表中:
以下為引用的內(nèi)容:
用戶名 密碼 |
這些加密的口令對應(yīng)的明碼分別是kent、banner和parker。注意一下每個(gè)口令的前二個(gè)字母,這是因?yàn)槲沂褂昧讼旅娴拇a,根據(jù)口令的前二個(gè)字母創(chuàng)建干擾串的:
以下為引用的內(nèi)容:
. |
我將使用Apache的口令-應(yīng)答認(rèn)證配置提示用戶輸入用戶名和口令,一個(gè)鮮為人知的有關(guān)PHP的信息是,它可以把Apache的口令-應(yīng)答系統(tǒng)輸入的用戶名和口令識(shí)別為和,我將在身份驗(yàn)證腳本中用到這二個(gè)變量。花一些時(shí)間仔細(xì)閱讀下面的腳本,多注意一下其中的解釋,以便更好地理解下面的代碼:
以下為引用的內(nèi)容:
crypt()和Apache的口令-應(yīng)答驗(yàn)證系統(tǒng)的應(yīng)用 = "localhost"; // Set authorization to False = 0; // Verify that user has entered username and password if (isset() && isset()) : mysql_pconnect(, , ) or die("Can''t connect to MySQL mysql_select_db() or die("Can''t select database!"); // Perform the encryption // Build the query = "SELECT username FROM members WHERE // Execute the query if (mysql_numrows(mysql_query()) == 1) : endif; // confirm authorization if (! ) : header(''WWW-Authenticate: Basic realm="rivate"''); else : print "This is the secret data!"; endif; ?> |
上面就是一個(gè)核實(shí)用戶訪問權(quán)限的簡單身份驗(yàn)證系統(tǒng)。在使用crypt()保護(hù)重要的機(jī)密資料時(shí),記住在缺省狀態(tài)下使用的crypt()并不是最安全的,只能用在對安全性要求較低的系統(tǒng)中,如果需要較高的安全性能,就需要我在本篇文章的后面介紹的算法。
下面我將介紹另一個(gè)PHP支持的函數(shù)━━md5(),這一函數(shù)使用MD5散列算法,它有幾種很有趣的用法值得一提:
混編
一個(gè)混編函數(shù)可以將一個(gè)可變長度的信息變換為具有固定長度被混編過的輸出,也被稱作"信息文摘"。這是十分有用的,因?yàn)橐粋(gè)固定長度的字符串可以用來檢查文件的完整性和驗(yàn)證數(shù)字簽名以及用戶身份驗(yàn)證。由于它適合于PHP,PHP內(nèi)置的md5()混編函數(shù)將把一個(gè)可變長度的信息轉(zhuǎn)換為128位(32個(gè)字符)的信息文摘;炀幍囊粋(gè)有趣的特點(diǎn)是不能通過分析混編后的信息得到原來的明碼,因?yàn)榛炀幒蟮慕Y(jié)果與原來的明碼內(nèi)容沒有依賴關(guān)系。 即便只改變一個(gè)字符串中的一個(gè)字符,也將使得MD5混編算法計(jì)算出二個(gè)截然不同的結(jié)果。我們首先來看下表的內(nèi)容及其相應(yīng)的結(jié)果:
使用md5()混編字符串
以下為引用的內(nèi)容:
= "This 關(guān)鍵詞標(biāo)簽:功能,加密,安全,實(shí)例, 相關(guān)閱讀
熱門文章 plsql developer怎么連接數(shù)據(jù)庫-plsql deve2021年最好用的10款php開發(fā)工具推薦在 PHP 中使用命令行工具php應(yīng)用程序安全防范技術(shù)研究
相關(guān)下載
人氣排行 詳解ucenter原理及第三方應(yīng)用程序整合思路、方法PHP中防止SQL注入攻擊PHP會(huì)話Session的具體使用方法解析PHP運(yùn)行出現(xiàn)Notice : Use of undefined constant 的解決辦法CakePHP程序員必須知道的21條技巧PHP如何清空mySQL數(shù)據(jù)庫PHP采集圖片實(shí)例(PHP采集)plsql developer怎么連接數(shù)據(jù)庫-plsql developer連接數(shù)據(jù)庫方法
|