【发布时间】:2015-11-24 03:10:28
【问题描述】:
我正在创建一个只有一个用户的网站的管理面板部分。我正在考虑将密码存储在单独的 config.php 文件中,而不是像我通常为会员区所做的那样创建一个包含用户名和散列密码的用户表,因为它只有一个用户。
有这样做的想法吗?有没有其他人试过这个?是否有一些我应该注意的重大漏洞?
示例 config.php:
$pw = "honeybadgerbubblegum";
示例 login.php:
require('config.php');
if(isset($_POST['login']))
{
$upw = md5($_POST['upw']);
$pwHashed = md5($pw);
if($upw === $pwHashed)
{
//success
}
}
【问题讨论】:
-
除非您在 Intranet 上,否则不要使用 MD5 存储密码哈希。
-
因为彩虹桌? @Fred-ii-
hash_hmac('sha256', )而不是? -
完全正确。是的,hash_hmac stackoverflow.com/questions/2707967/… 会比 MD5 更安全。或者,使用 HTTP 身份验证php.net/manual/en/features.http-auth.php 等身份验证方法
标签: php authentication passwords