PHP और MySQL

Question

के साथ मेरे हैंश को सट्टेबाजी करना अधिकांश उपयोगकर्ताओं की तरह, मैं बस पासवर्ड स्टोर करने के लिए एक सुरक्षित तरीका जानने का प्रयास कर रहा हूं। जो मुझे यहां नहीं मिला है (या शायद यह मेरी समझ की कमी है) है कि मेरे डेटाबेस में नमकीन हैश को कैसे प्राप्त किया जाए और नमक को पासवर्ड बनाए रखने के दौरान प्रत्येक पासवर्ड के लिए अद्वितीय लवण के साथ विशेष रूप से से नमक को अलग करें। एक कॉलम में

मुझे पासवर्ड एन्क्रिप्ट करने के लिए इन सभी शानदार तरीकों को ढूंढ रहा है (SHA-256, लेकिन MySQL केवल SHA/1 और MD5 का समर्थन करता है?) और PHP मैनुअल से अन्य चीजें, लेकिन यह सुनिश्चित नहीं है कि पासवर्ड कैसे स्टोर और पुनर्प्राप्त करें।

तो, अब तक यह सब है मैं समझता हूँ:

SHA('$salt'.'$password') // My query sends the password and salt 
         // (Should the $salt be a hash itself?) 

मैं लवण के साथ खो रहा हूँ उसके बाद।

नमक के बिना पासवर्ड पुनर्प्राप्त करना आसान है, लेकिन नमक मुझे भ्रमित करता है। मुझे फिर से नमक से मूल्य कहां मिल सकता है, खासकर यदि यह अद्वितीय और सुरक्षित है? क्या मैं उन्हें किसी अन्य डेटाबेस में छुपाता हूं? निरंतर (असुरक्षित लगता है)?

संपादित करें: क्या एचएमएसी में मुख्य चर नमक होना चाहिए या यह कुछ और है?

Answer 1

पहले, अपने डीबीएमएस (MySQL) क्रिप्टोग्राफिक हैश के लिए किसी भी समर्थन की आवश्यकता नहीं है। आप इसे सब कुछ PHP पक्ष पर कर सकते हैं, और यह भी आपको क्या करना चाहिए।

यदि आप उसी कॉलम में नमक और हैश स्टोर करना चाहते हैं तो आपको उन्हें संयोजित करने की आवश्यकता है।

// the plaintext password 
$password = (string) $_GET['password']; 

// you'll want better RNG in reality 
// make sure number is 4 chars long 
$salt = str_pad((string) rand(1, 1000), 4, '0', STR_PAD_LEFT); 

// you may want to use more measures here too 
// concatenate hash with salt 
$user_password = sha512($password . $salt) . $salt; 

अब, आप एक पासवर्ड तुम क्या सत्यापित करने के लिए चाहते हैं:

// the plaintext password 
$password = (string) $_GET['password']; 

// the hash from the db 
$user_password = $row['user_password']; 

// extract the salt 
// just cut off the last 4 chars 
$salt = substr($user_password, -4); 
$hash = substr($user_password, 0, -4); 

// verify 
if (sha512($password . $salt) == $hash) { 
    echo 'match'; 
} 

आप phpass पर एक नज़र लेने के लिए है, जो भी इस तकनीक का उपयोग करता है चाहते हो सकता है। यह एक PHP हैशिंग समाधान है जो कुछ अन्य चीजों के बीच नमक का उपयोग करता है।

आपको निश्चित रूप से प्रश्न WolfOdrade से जुड़े प्रश्न का उत्तर देखना चाहिए।

Answer 2

यह एक पिछली पोस्ट में में गहराई से शामिल किया गया लगता है: सभी की Secure hash and salt for PHP passwords

Answer 3

व्यक्तिगत रूप से मैं अपने अंतर्निहित कार्यों के साथ MySQL को ऐसा करने की सलाह देता हूं।

वे जिस तरह से करते हैं मैं अपनी डेटाबेस कॉन्फ़िगरेशन फ़ाइल में एक फ़ंक्शन बनाने के लिए करता हूं जो एक कुंजी स्ट्रिंग देता है। कॉन्फ़िगरेशन फ़ाइल आपकी साइट रूट के बाहर होनी चाहिए ताकि वेबसर्वर फ़ाइल तक पहुंच सके लेकिन दूसरों को नहीं। तो उदाहरण के लिए:

function enc_key(){ 
    return "aXfDs0DgssATa023GSEpxV"; 
} 

तो अपनी स्क्रिप्ट में इसे इस तरह एसक्यूएल क्वेरी और MySQL में AES_ENCRYPT और AES_DECRYPT कार्यों के साथ उपयोग करें:

require_once('dbconf.inc.php'); 

$key = enc_key(); 

//When creating a new user 
$sql = "INSERT INTO users (username, password) VALUES ('bob', AES_ENCRYPT('{$key}', {$password}))"; 

//When retrieving users password 
$sql = "SELECT AES_DECRYPT('{$key}', password) AS password FROM users WHERE username like 'bob'";