向普通人加密用PHP程序保護數(shù)據(jù)(4)_PHP教程

教程Tag：暫無Tag,歡迎添加,賺取U幣!

推薦：用PHP實現(xiàn)Ftp用戶的在線管理
領(lǐng)導(dǎo)要我策劃一個網(wǎng)頁設(shè)計大賽和Flash創(chuàng)作大賽，要求必須實現(xiàn)在線報名和上傳作品。通過FreeBSD Apache PHP Mysql FTP我實現(xiàn)了該要求。實現(xiàn)在線報名和上傳作品的思路是利用網(wǎng)頁表單收集用戶

清單 6. 重訪 verify.php

以下為引用的內(nèi)容：

＜?php
$user = strip_tags(substr($_POST['user'],0,32));
$pw = strip_tags(substr($_POST['password'],0,32));
$cleanpw = crypt(md5($pw),md5($user));

$sql = "select user,password from users
where user='". mysql_real_escape_string($user)."'
and password='". mysql_real_escape_string($cleanpw)."'
limit 1';
$result = mysql_query($sql);

if (mysql_num_rows($result)){
//we have a match!
}else{
//no match
}
?＞

例如，如果存儲的加密密碼是 i83Uw28jKzBrZF，則加密存儲傳入的密碼，并將它與存儲的密碼進行比較。攻擊者破壞加密的惟一方法是將一個非常長的字符串列表與您的加密密碼進行比較，每次比較一個，直到找到匹配項。這也稱為字典攻擊，因此您的密碼最好不應(yīng)該是密碼或 Star Trek 字符名，甚至您的呢稱。因為在加密 Fido 后，它會變成一堆亂語，但這并不表明它對于此種攻擊是安全的。確保您的密碼具有某一長度（八個或更多字符），并包含大寫字母、數(shù)字和特定的字符，如 ! 和 $，這樣猜測您的數(shù)據(jù)會更加困難。在短語中，f1D0! 是一個較好的密碼，它勝于 GandalftheGray 之類的長密碼，由于后者使用小寫字母，并且是 “Lord of the Rings” 的字符名稱。

使用 crypt() 的一種不太好的方法

還有使用 crypt() 的另一種方法，這種方法不太好：將明文的前 n 個字符用作 salt。

清單 7. 將明文字符用于 salt

以下為引用的內(nèi)容：

＜?php
$user = strip_tags(substr($_POST['user'],0,32));
$pw = strip_tags(substr($_POST['password'],0,32));
$cleanpw =crypt($pw, substr($user,0,2));

$sql = "select user,password from users
where user='". mysql_real_escape_string($user)."'
and password='". mysql_real_escape_string($cleanpw)."'
limit 1';
$result = mysql_query($sql);

if (mysql_num_rows($result)){
//we have a match!
}else{
//no match
}
?＞

如果您的用戶名是 tmyer，則 salt 預(yù)置為 tm，它會使某人很容易推斷 salt 的內(nèi)容。這不是一個好方法。

分享：用PHP程序?qū)崿F(xiàn)刪除目錄的三種方法實例
1。遞規(guī)法： //沒測試以下為引用的內(nèi)容： deleteDir($dir) { if (rmdir($dir)==false && is_dir($dir)) { if ($dp = opendir($dir)) { w