最近看到网上有很多知名企业网站都爆出密码泄露的问题,然后我们现在做一些关于注册和登录还有其他方方面面涉及数据库资料的内容。
如果我们一般做注册页面,将用户注册的密码存进数据库,一般建议不要单纯的将密码存进去,因为这样安全性绝对是最低的,如果不想让别人简简单单就拿到我们密码的话,那就得在密码上面做点小功夫,例如我们最常见的就是MD5的加密,因为MD5是不可逆的,这时候可能会有很多人说,我们上网有很多MD5解密的网站,把密码扔进去不就好了吗?
雖然网站上面MD5解密的解密查询数据的记录惊人,但是如果我们在MD5原基础上再加密一次或者多次,那就算有入侵者来盗取,也未必能一时之间把用户的密码给识破;然后如果我们在MD5的加密基础上再把MD5加密出来的32位,抽取出前几位或者后几位的数来拼接后密码的任意位置上面,那样的话,我相信密码的安全性就会大大的提高了几个层次。而且,做类似注册页面或者其他诸如此类页面的时候,利用正则来验证,可以有效的控制,用户填写的密码不要过于简单,例如不能纯数字,不能有特殊符号等等,或者要求要数字和英文字混合组成,而且大家要记住自己的加密方法。
经过园友的提醒后多加一些方法,例如用salt随机盐的方法加密,还有增加个登录失败次数限制,还有等多的哈希加密方法等等,还有必须要深入了解Cookie~~
以上只是一些小方法,当然如果有大神有更多的好方法能提高密码的安全性,希望可以分享交流!