如何加密插入 MySQL 表的密码？ [复制]

Question

我有一些代码可以注册，但我不知道如何散列密码。我想用sha512。

$con=mysqli_connect("localhost","root","","users");
// Check connection
if (mysqli_connect_errno())
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}

$sql="INSERT INTO users (username, password, email)
VALUES
('$_POST[username]','$_POST[password]','$_POST[email]')";

if (!mysqli_query($con,$sql))
{
die('Error: ' . mysqli_error($con));
}
echo "Thank you.";

mysqli_close($con);

我知道我的 mysql 登录没有密码。这是一个本地 mysql 服务器，仅用于测试。

Answer 1

您可以使用hash() 函数对您的密码进行哈希处理：

$hashed_password = hash('sha512', $_POST['password']);

然后修改您的插入语句，将您的散列密码插入数据库：

INSERT INTO users (username, password, email)
VALUES ('$_POST[username]', '$hashed_password', '$_POST[email]');

请注意，您的 SQL 语句容易受到 SQL 注入的影响，因为您使用的是未经处理的用户输入。为了提高安全性并保护数据的完整性，请考虑在 SQL 语句中使用输入之前对输入进行转义和验证。一种方法是通过mysqli_real_escape_string()：

$escaped_username = mysqli_real_escape_string( $con, $_POST['username'] );
$escaped_email = mysqli_real_escape_string( $con, $_POST['email'] );

Answer 2

首先清理您的输入数据。 $password = filter_input(INPUT_POST, 'password', FILTER_SANITIZE_STRING);

散列你的密码字符串

$hashedPassword = hash('sha512', $password);

对密码进行哈希处理的更好方法是使用新的密码哈希 API

$hashedPassword = password_hash($password, PASSWORD_DEFAULT);

Answer 3

以下是如何对密码进行哈希处理的示例：

<?php
$password = hash('sha512', $_POST[password]);

我建议对密码加盐。在此处阅读更多信息：
http://www.aspheute.com/english/20040105.asp

另请阅读“mysqli_real_escape_string”

…和 Prepared Statements。

Answer 4

你在这里做的事情有很多问题。

首先，您很容易受到 SQL 注入的攻击，因为您没有清理 SQL 中的输入。

其次，您应该避免为此使用 SHA512 之类的快速哈希。它不再被认为是安全的。看看this question。您基本上想使用像 bcrypt 这样的自适应哈希函数。

Answer 5

请在输入您的数据库之前转义您的数据。他们很容易受到攻击。

hash('sha512', $_POST['password']);