我正在尝试编写一个 Web 应用程序,允许登录用户将不同应用程序的密码存储到 MySQL 数据库中。但为了防止 MySQL 管理员直接从数据库读取这些密码,我想在将这些密码发送到数据库之前使它们不可读。 然后,当用户希望查看其存储的密码时,Web 应用程序将解密存储的密码并将其显示在屏幕上。
我正在尝试找出一种方法来加密这些密码以存储在数据库中,然后在从数据库读取时解密它们。
所以,例如: - 用户希望存储新密码:Abc123! - 然后,Web 应用程序将给定的密码转换为“乱码”:234fohj234]j8924](或类似的内容)并将其存储到数据库中。 - 当用户打开 Web 应用程序查看其存储的密码时,他看到正确的密码:Abc123! - 但是当MySQL管理员使用像PHPMyAdmin这样的程序来查看/维护数据库时,他只会看到“乱码”密码,而不是真正的密码。
PHP(或 MySQL)是否提供类似这样的内置函数? 或者有人对创建一个函数来完成此任务有任何提示吗?
最佳答案
PHP 提供了 MCrypt 库来使用双向加密。最大的问题是在哪里存储 key ,但这是另一个问题。您可以提供的最佳保护是根本不存储 key (用于加密),并让用户每次使用您的服务时输入 key 。缺点是,这种方式无法实现忘记密码功能。
注意不要使用 ECB 模式进行加密,相同的密码将始终产生相同的密文,而应使用具有随机 IV 向量的另一种模式。由于 PHP 手册中有使用 ECB 模式的示例,因此我添加了一个小示例,它使用 IV 向量并将其存储在结果中。
/**
* Encrypts data with the TWOFISH algorithm. The IV vector will be
* included in the resulting binary string.
* @param string $data Data to encrypt. Trailing \0 characters will get lost.
* @param string $key This key will be used to encrypt the data. The key
* will be hashed to a binary representation before it is used.
* @return string Returns the encrypted data in form of a binary string.
*/
function encryptTwofish($data, $key)
{
if (!defined('MCRYPT_DEV_URANDOM')) throw new Exception('The MCRYPT_DEV_URANDOM source is required (PHP 5.3).');
if (!defined('MCRYPT_TWOFISH')) throw new Exception('The MCRYPT_TWOFISH algorithm is required (PHP 5.3).');
// The cbc mode is preferable over the ecb mode
$td = mcrypt_module_open(MCRYPT_TWOFISH, '', MCRYPT_MODE_CBC, '');
// Twofish accepts a key of 32 bytes. Because usually longer strings
// with only readable characters are passed, we build a binary string.
$binaryKey = hash('sha256', $key, true);
// Create initialization vector of 16 bytes
$iv = mcrypt_create_iv(mcrypt_enc_get_iv_size($td), MCRYPT_DEV_URANDOM);
mcrypt_generic_init($td, $binaryKey, $iv);
$encryptedData = mcrypt_generic($td, $data);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);
// Combine iv and encrypted text
return $iv . $encryptedData;
}
/**
* Decrypts data, formerly encrypted with @see encryptTwofish.
* @param string $encryptedData Binary string with encrypted data.
* @param string $key This key will be used to decrypt the data.
* @return string Returns the original decrypted data.
*/
function decryptTwofish($encryptedData, $key)
{
if (!defined('MCRYPT_TWOFISH')) throw new Exception('The MCRYPT_TWOFISH algorithm is required (PHP 5.3).');
$td = mcrypt_module_open(MCRYPT_TWOFISH, '', MCRYPT_MODE_CBC, '');
// Extract initialization vector from encrypted data
$ivSize = mcrypt_enc_get_iv_size($td);
$iv = substr($encryptedData, 0, $ivSize);
$encryptedData = substr($encryptedData, $ivSize);
$binaryKey = hash('sha256', $key, true);
mcrypt_generic_init($td, $binaryKey, $iv);
$decryptedData = mdecrypt_generic($td, $encryptedData);
mcrypt_generic_deinit($td);
mcrypt_module_close($td);
// Original data was padded with 0-characters to block-size
return rtrim($decryptedData, "\0");
}
关于php - 将密码存储到数据库中/从数据库中读取密码,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19093533/