我有两个盐,每个用户都有一个唯一的盐,它与用户信息一起存储在数据库中。第二种盐是特定于网站的盐。两者都需要散列密码。
问题是我不知道我应该把我的网站保存在哪里。现在它驻留在运行哈希算法的 PHP 方法中。我应该将它保存在/var/www/之外的文件中并让 PHP 打开并读取该文件吗?我不想将它存储在数据库中,因为如果我的数据库受到威胁,那将破坏使用两种盐的目的。
有什么建议吗?
最佳答案
还没有提到一个选项?服务器提供的环境变量。您可以在 httpd.conf 或 .htaccess 中执行此操作。由于 Apache 不提供 .htaccess 文件,因此您不必担心将其隐藏太多...
SetEnv WEBSITE_SALT 232lhsdfjaweufha32i4fv4239tauvkjn
这样,您在应用程序中所需要做的就是$salt = getenv('WEBSITE_SALT');
。这里的好处是它对应用程序是透明的...
关于php - 网站密码盐的最佳存储位置在哪里?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5032341/