推薦：使用MD5加密數(shù)據(jù)庫中的用戶密碼(二)
使用MD5鑒別是否合法用戶 既然用戶密碼是按照MD5加密以后保存在數(shù)據(jù)庫中的，我們知道，MD5是單次加密算法，所以，不可能將加密以后的信息轉為明文，也就是說，已經(jīng)沒有辦法知道。這就出現(xiàn)一個問題，如果用戶使用賬號、密碼登錄，怎么知道用戶提供的密碼是否

我們知道，現(xiàn)在網(wǎng)絡上一般的網(wǎng)站，稍微完善一點的，往往都需要用戶先注冊，提供諸如電子郵件、賬號、密碼等信息以后，成為網(wǎng)站欄目的注冊用戶，才可以享受網(wǎng)站一些特殊欄目提供的信息或者服務，比如免費電子郵件、論壇、聊天等，都需要用戶注冊。而對于電子商務網(wǎng)站，比如igo5等大型電子商務網(wǎng)站，用戶需要購買商品，就一定需要詳細而準確的注冊，而這些信息，往往是用戶很隱秘的信息，比如電話、電子郵件、地址等，所以，注冊信息對于用戶和網(wǎng)站都是很重要的資源，不能隨意透露，更加不能存在安全上的隱患。
如果我們也設計一個需要用戶注冊的網(wǎng)站，根據(jù)現(xiàn)在的常用技術實現(xiàn)方法，可以在數(shù)據(jù)庫中建立一個用于存放用戶信息的表，這個表中至少包括用戶賬號字段：UserAccount和用戶密碼字段：Password，當然，實際應用中一個用戶信息表不可能就只有這些信息，往往根據(jù)網(wǎng)站服務要求，會適當增加一些其他的信息，以方便網(wǎng)站提供更加完善的服務。一般的，一個用戶信息占用這個用戶信息表的一行也就是一個數(shù)據(jù)記錄，當用戶登錄或者提交資料的時候，程序將用戶填寫的信息與表中的信息對照，如果用戶賬號和密碼都準確無誤，那么說明這個用戶是合法用戶，通過注冊；反之，則是非法用戶，不許通過。
然而，是不是這樣就安全了了？是不是這樣就能滿足網(wǎng)站的注冊要求了呢？仔細想想，我們一般將用戶資料直接保存在數(shù)據(jù)庫中，并沒有進行任何的保密措施，對于一些文件型數(shù)據(jù)庫比如Access等，如果有人得到這個文件，豈不是所有的資料都泄露無疑？更加重要的是，如果一個不負責任的網(wǎng)管，不需要任何技術手段，就可以查看網(wǎng)站中的任何資料，如果我們的用戶信息在數(shù)據(jù)庫中沒有加密，對于網(wǎng)管而言，查看這些信息是太簡單了。所以，為了增加安全性，我們有必要對數(shù)據(jù)庫中的資料進行加密，這樣，即使有人得到了整個數(shù)據(jù)庫，如果沒有解密算法，也一樣不能查看到數(shù)據(jù)庫中的用戶信息。但是，在考慮數(shù)據(jù)庫是否安全之前，我們有必要對我們的數(shù)據(jù)是否真的那么重要進行考慮，如果數(shù)據(jù)只是簡單的一些文件資料，沒有保密的必要，顯然，沒有必要對這些數(shù)據(jù)進行加密而浪費系統(tǒng)資源、加重程序負擔，如果這些數(shù)據(jù)具有一定的隱私性，當然就有必要進行加密。所以，在考慮加密以前，我們可以對需要加密的數(shù)據(jù)做適當?shù)倪x擇，以免浪費系統(tǒng)資源。

MD5加密算法簡單介紹
在現(xiàn)階段，我們一般認為存在兩種加密方式，單向加密和雙向加密。雙向加密是加密算法中最常用的，它將我們可以直接理解的明文數(shù)據(jù)加密為我們不可直接理解的密文數(shù)據(jù)，然后，在需要的時候，可以使用一定的算法將這些加密以后的密文解密為原來可以理解的明文。雙向加密適合于隱秘通訊，比如，我們在網(wǎng)上購物的時候，需要向網(wǎng)站提交信用卡密碼，我們當然不希望我們的數(shù)據(jù)直接在網(wǎng)上明文傳送，因為這樣很可能被別的用戶“偷聽”，我們希望我們的信用卡密碼是通過加密以后，再在網(wǎng)絡傳送，這樣，網(wǎng)站接受到我們的數(shù)據(jù)以后，通過解密算法就可以得到準確的信用卡賬號。
單向加密剛好相反，只能對數(shù)據(jù)進行加密，也就是說，沒有辦法對加密以后的數(shù)據(jù)進行解密�？赡芪覀兞⒓淳蜁�想，這樣的加密有什么用處？不能解密的加密算法有什么作用呢？在實際中的一個應用就是數(shù)據(jù)庫中的用戶信息加密，當用戶創(chuàng)建一個新的賬號或者密碼，他的信息不是直接保存到數(shù)據(jù)庫，而是經(jīng)過一次加密以后再保存，這樣，即使這些信息被泄露，也不能立即理解這些信息的真正含義。
MD5就是采用單向加密的加密算法，對于MD5而言，有兩個特性是很重要的，第一是任意兩段明文數(shù)據(jù)，加密以后的密文不能是相同的；第二是任意一段明文數(shù)據(jù)，經(jīng)過加密以后，其結果必須永遠是不變的。前者的意思是不可能有任意兩段明文加密以后得到相同的密文，后者的意思是如果我們加密特定的數(shù)據(jù)，得到的密文一定是相同的。
MD5CyptoServiceProvider類是.NET中System.Security.Cryptography名字空間的一個類，提供專門用于MD5單向數(shù)據(jù)加密的解決方法，也是本文中我們用來加密數(shù)據(jù)庫中密碼的類。在真正進行數(shù)據(jù)加密之前，我們首先來了解MD5CyptoServiceProvider類中的主要方法：ComputeHash，它將輸入的明文數(shù)據(jù)數(shù)組使用MD5加密以后輸出加密后的密文數(shù)據(jù)數(shù)組�，F(xiàn)在，我們就來看一個具體的實例：
'要加密的明文字符串
Dim strPlainText as String = "Encrypt me!"
'用于存放明文字符串的數(shù)組
Dim hashedDataBytes as Byte()
Dim encoder as New UTF8Encoding()
'建立MD5CryptoService實例
Dim md5Hasher as New MD5CryptoServiceProvider()
'加密運算
hashedDataBytes = md5Hasher.ComputeHash(encoder.GetBytes(strPlainText))
看完以上的具體實例以后，我們知道，ComputeHash方法只能接受數(shù)組作為加密對象，輸出的密文也是數(shù)組，因此，在對字符串加密之前，我們必須首先將這些字符串轉化為數(shù)組，這就要用到UTF8Encoding類的GetBytes方法，將字符串轉化為數(shù)組，而加密以后的結果也是使用數(shù)組輸出。
以上我們大致了解了MD5的具體加密實現(xiàn)方法，下面，我們結合數(shù)據(jù)庫來看看MD5的實際使用。

使用MD5存儲密碼
在前面的介紹中，我們提到網(wǎng)站往往將用戶的賬號、密碼等信息使用非加密的方式保存到數(shù)據(jù)庫，比如賬號使用類型為VarChar的UserCount字段，同樣，密碼也是采用類型為VarChar的Password字段。但是，如果我們打算采用MD5加密方式存儲密碼信息，就必須改變密碼字段PassWord的類型為16為二進制方式，這個其實我們也不難理解，因為在前面的介紹中，我們知道加密以后的輸出，是使用二進制數(shù)組的，所以，這里必須做相應的改變。
當用戶注冊成功，正式建立一個賬號的時候，數(shù)據(jù)庫中就必須為這個用戶增加一條記錄。以下的程序代碼實現(xiàn)了建立一個賬號的功能，在頁面中，程序要求用戶輸入賬號、密碼等信息，然后，將這些信息作為賬號信息存入名為UserCount的數(shù)據(jù)表，在這個表中，用戶密碼是使用MD5加密保存的。下面就是實現(xiàn)以上頁面的具體代碼：
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Text" %>
<%@ Import Namespace="System.Data" %>
<%@ Import Namespace="System.Data.SqlClient" %>
<Script runat="server" language="VB">
Sub CreateAccount(sender as Object, e as EventArgs)
'1. 建立數(shù)據(jù)庫連接
Const strConnString as String = "connection string"
Dim objConn as New SqlConnection(strConnString)
'2. 建立Command對象
Dim strSQL as String = _
"INSERT INTO UserAccount(Username,Password) " & _
"VALUES(@Username, @Password)"
Dim objCmd as New SqlCommand(strSQL, objConn)
'3. SQL參數(shù)
Dim paramUsername as SqlParameter
paramUsername= New SqlParameter("@Username", SqlDbType.VarChar, 25)
paramUsername.Value = txtUsername.Text
objCmd.Parameters.Add(paramUsername)
'加密用戶密碼
Dim md5Hasher as New MD5CryptoServiceProvider()
Dim hashedBytes as Byte()
Dim encoder as New UTF8Encoding()
hashedBytes=md5Hasher.ComputeHash(encoder.GetBytes(txtPwd.Text))
Dim paramPwd as SqlParameter
paramPwd = New SqlParameter("@Password", SqlDbType.Binary, 16)
paramPwd.Value = hashedBytes
objCmd.Parameters.Add(paramPwd)
'加入數(shù)據(jù)庫
objConn.Open()
objCmd.ExecuteNonQuery()
objConn.Close()
End Sub
</script>
<Form runat="server">
<h1>建立一個賬號</h1>
用戶名：<asp:TextBox runat="server" id="txtUsername" />
<br />密碼：
<asp:TextBox runat="server" id="txtPwd" TextMode="Password" />
<p><asp:Button runat="server" Text="建立用戶賬號" onClick="CreateAccount" /></p>
</form>
在以上程序實現(xiàn)的頁面中，“用戶名”和“密碼”輸入框要求用戶輸入自己的賬號和密碼，用戶輸入自己的信息以后，按“建立用戶賬號”按鈕，就可以建立一個賬號并且存入數(shù)據(jù)庫。我們同時需要特別注意，因為以上的程序使用到了MD5加密和數(shù)據(jù)庫等功能，所以，在代碼最開頭，我們引入了幾個稍微特別一點的名字空間，這是不可缺少的。
我們可以看到，PassWord字段的信息是二進制方式保存的，即使數(shù)據(jù)庫被人取得，也不可能知道密碼具體是什么意思。當然，密碼也就不會泄露。

分享：解讀八種方法防止數(shù)據(jù)庫被下載
下面提供的的方法分別適用使用虛擬主機空間的用戶和有IIS控制權的用戶！ 一：購買虛擬主機空間的，適合沒有IIS控制權 1：發(fā)揮你的想象力 修改數(shù)據(jù)庫文件名 這個是最基本的。我想現(xiàn)在也沒有多少連數(shù)據(jù)庫文件名都懶得改的人吧？ 至于改成什么，你自己看著辦，至