MySQL और php

Question

में अद्वितीय टेक्स्ट फ़ील्ड मैंने उपयोग करके नमक बनाया है; md5 (रैंड (0,10000000)); (शायद एक बेहतर तरीका है?)

MYSQL में एक टेक्स्ट फ़ील्ड अद्वितीय बनाने के लिए संभव नहीं लगता है। तो मैं कैसे जांच करूं कि पिछले उपयोगकर्ता के लिए नमक का उपयोग पहले से ही किया जा रहा है या नहीं?

या मुझे वर्तमान दिनांक/समय के आधार पर नमक उत्पन्न करना चाहिए? क्योंकि 2 उपयोगकर्ताओं के लिए एक ही समय में सही पंजीकरण करना असंभव है?

Answer 1

नमक के लिए, विशिष्टता लंबाई और भविष्यवाणी से अधिक महत्वपूर्ण है। आप मानते हैं कि हमलावर का नमक है।

एक सार्वभौमिक अद्वितीय पहचानकर्ता (यूयूआईडी) सबसे अच्छा होगा, और ऐसे उदाहरण हैं जो php uniqueid() फ़ंक्शन के लिए दस्तावेज़ पृष्ठ पर सार्वभौमिक अद्वितीय पहचानकर्ता उत्पन्न करते हैं। एक यूयूआईडी का एक यादृच्छिक स्ट्रिंग पर लाभ होता है जिसमें यह मानव पठनीय और निश्चित लंबाई है, इसलिए आप इसे एक वर्चर फ़ील्ड में स्टोर कर सकते हैं और यह सुनिश्चित करने के लिए एक अद्वितीय इंडेक्स का उपयोग कर सकते हैं कि कभी डुप्लीकेट नहीं होते हैं।

एमडी 5 के साथ समय को धक्का देना अद्वितीय मान उत्पन्न करने के लिए एक आम तरीका है क्योंकि इसकी निश्चित लंबाई है और मानव पठनीय है। हालांकि, यह एक निश्चित लंबाई यादृच्छिक स्ट्रिंग उत्पन्न करने के लिए और अधिक समझ में आता है और इसे स्वयं हेक्स में एन्कोड करता है। हैश को विशिष्टता के लिए डिज़ाइन नहीं किया गया है क्योंकि उन्हें डिज़ाइन नहीं किया जा सकता है। एक हैशिंग फ़ंक्शन का उपयोग टकराव की गारंटी देता है, हालांकि एमडी 5 की तुलना में SHA1 के साथ कम टक्कर होगी।

नमक की लंबाई वास्तव में केवल एक कारक है क्योंकि लंबे समय तक नमक, अधिक संभावना है कि यह सार्वभौमिक रूप से अद्वितीय हो।

Answer 2

md5() एक टूटा हुआ एल्गोरिदम है और इसे कभी भी छुआ नहीं जाना चाहिए।

रैंड() थोड़ा टूटा हुआ है क्योंकि यह सिस्टम घड़ी पर आधारित है।

एक बेहतर तरीका है:

function generateRandomKey() 
{ 
    return base_convert(uniqid(mt_rand(), true), 16, 36); 
} 

संपादित करें: अगर वहाँ एक बेहतर तरीका है या मैं गलत हूँ, कृपया मुझे यह करने का अपना रास्ता दिखाते हैं। मैं वास्तव में दिलचस्पी रखता हूं, और जानना चाहता हूं कि मैं असुरक्षित हूं या नहीं।

Answer 3

आप UUID उत्पन्न करने के लिए http://php.net/manual/en/function.uniqid.php जैसे कुछ का उपयोग कर सकते हैं। या टाइमस्टैम्प भी एक अच्छा है - शायद टाइमस्टैम्प और आईपी पता या इसी तरह के।

Answer 4

उपयोगकर्ता आईडी और डेटाटाइम का उपयोग कर SHA1 के साथ नमक उत्पन्न करें।

Answer 5

MySQL की अनुक्रमणिका टेक्स्ट फ़ील्ड पर सीमित-सीमित हैं, वे पूरे क्षेत्र को स्वचालित रूप से चार/वर्कर फ़ील्ड पर नहीं करते हैं, इसलिए टेक्स्ट फ़ील्ड पर 'अद्वितीय' कुंजी का उपयोग करने का कोई व्यावहारिक तरीका नहीं है।

लेकिन तुम MySQL द्वारा उत्पन्न हैश भंडारण कर रहे हैं, तो आप पाठ की जरूरत नहीं है - है परिणाम, सादे-पाठ कर रहे हैं तो बस एक निश्चित लंबाई चार क्षेत्र का उपयोग करें:

mysql> select length(md5('a')), length(sha1('a')); 
+------------------+-------------------+ 
| length(md5('a')) | length(sha1('a')) | 
+------------------+-------------------+ 
|    32 |    40 | 
+------------------+-------------------+ 

और उसके बाद आप उस क्षेत्र में एक अनूठी बाधा लागू कर सकते हैं।

Answer 6

आप आमतौर पर नमक तार उत्पन्न नहीं करते हैं। तो जब आप उन्हें पहली बार उत्पन्न करते हैं, तो आपको एक अच्छी नौकरी करनी चाहिए। लंबे और अधिक यादृच्छिक तार बेहतर हैं।नया पासवर्ड

update user set salt = :salt, password = sha1(concat(:password, :salt)) where id = :id limit 1; 

के लिए

function generateSalt($length = null) 
{ 
    if (!is_int($length) || ($length < 1)) $length = 250; 
    do { 
    $salt[] = chr(mt_rand(0, 255)); 
    } while (--$length); 
    return implode('', $salt); 
} 

अद्यतन क्वेरी आप जाँच लें कि पासवर्ड सही है और एक ही समय में उपयोगकर्ता डेटा प्राप्त कर सकते हैं।

select * from user where id = :id and password = sha1(concat(:password, salt)) limit 1;