从 php 表单中保存密码。哪个更安全？

Question

$pass = substr(md5($_SERVER['REMOTE_ADDR'].microtime().rand(1,100000)),0,6);
        $insert = mysql_query("INSERT INTO users(username, password) VALUES( '".$username."', '".md5($pass)."')");

或

$salt = "zfgse5tfgHk2jdf4hGiuyeV9trejkewQ5kjujPhysftf7agfd";
$pass = crypt($password, "$1$".$salt);
$insert = mysql_query("INSERT INTO users (username, password) VALUES ('".$username."', '".$pass."')");

我正在从 php 注册表单中保存表单数据。以上哪个代码是安全的？还有比这些更好的吗？

Answer 1

方法 #1 将彻底破坏一切，您将永远无法再次登录。相当安全（除非你没有逃避$username，在这种情况下它完全没有价值），但可能不是你的意图。

方法#2 会起作用；但它看起来有点愚蠢、复杂，做一些本应直截了当的事情。

这是我通常使用的：

public static function Hash($value) {
    return hash('sha512', hash('sha512', $value) . Config::HashSalt);
}

Config::HashSalt 是你的长的、更随机的盐字符串。这需要在课堂上。这是一个结构示例：https://github.com/minitech/ReTicket/blob/master/config.php

Answer 2

第二个选项（第一个完全错误），但略有改变：

1. 使用 sha512（从不使用 md5）
2. 对每个用户使用不同的用户 salt，但存储在 db 中
3. 使用服务器盐，最好使用一些不在键盘上的特殊字符
4. 使用参数将变量插入到查询中(php.net/manual/en/book.pdo.php)