请教关于密码加密

欢迎您:游客帮助

我参与的帖子

请教关于密码加密 [已结贴,结贴人:dandande]

dandande
等级:
可用分等级：富农
总技术分：271
总技术分排名：49348
揭贴率：100.00%

发表于：2008-08-19 21:44:49 楼主

请问密码为什么要加密？
如果不加密会在哪个环节出问题？
谢谢！

问题点数：20 回复次数：10 修改删除举报引用回复

ruanchao
蜡笔小新
等级:
可用分等级：富农
总技术分：1592
总技术分排名：13087

发表于：2008-08-19 22:49:211楼得分:4

在这里看一下吧

http://topic.csdn.net/u/20070312/19/ebc9322a-c696-4e80-a85f-2dedcc49fe7f.html

修改删除举报引用回复

ten789
北京求职
等级:
可用分等级：富农
总技术分：2893
总技术分排名：7546

发表于：2008-08-20 00:26:382楼得分:4

一般密码都会MD5
好处就是不怕密码泄漏如果数据库被攻破就可以得到管理员的密码但MD5后的密码是无法还原的

其实也没多大用数据库都被控制了还有啥秘密可言如果MD5码的价值很高还是可以通过暴力碰撞得到原码的

修改删除举报引用回复

jhdl_n
等级:
可用分等级：中农
总技术分：188
总技术分排名：62186

发表于：2008-08-20 09:42:193楼得分:4

不加密就怕数据库被或得后密码泄露

修改删除举报引用回复

dandande
等级:
可用分等级：富农
总技术分：271
总技术分排名：49348

发表于：2008-08-20 10:56:434楼得分:0

谢谢上面的各位朋友，看了你们的解释和1楼介绍的帖子很受启发，现在还有几个问题：
1。我使用的是php，用md5加密，这个过程是在服务器端进行的，能否在用户端加密以防止在传输过程中被截取？
2。怎样防止数据库被攻破？
3。什么是暴力破解？
谢谢！

修改删除举报引用回复

cxxlp
香樟
等级:
可用分等级：中农
总技术分：102
总技术分排名：88524

发表于：2008-08-20 10:58:255楼得分:0

up

修改删除举报引用回复

songzairan
冉冉升起
等级:
可用分等级：长工
总技术分：333
总技术分排名：48478

发表于：2008-08-20 14:19:416楼得分:0

十分关注ING...!我也要学习学习!感谢楼主提出这么好的问题!

修改删除举报引用回复

ten789
北京求职
等级:
可用分等级：富农
总技术分：2893
总技术分排名：7546

发表于：2008-08-21 04:09:497楼得分:4

引用 4 楼 dandande 的回复:
谢谢上面的各位朋友，看了你们的解释和1楼介绍的帖子很受启发，现在还有几个问题：
1。我使用的是php，用md5加密，这个过程是在服务器端进行的，能否在用户端加密以防止在传输过程中被截取？
2。怎样防止数据库被攻破？
3。什么是暴力破解？
谢谢！

1 SSL可以做到
2 很复杂另起10贴也未必说的清楚很主要的1点是一定要管好写权限大多是上传
3 测试a md5后是否和密文相同不同测试b 类推测试所有的字符md5码是否和密文相同实际中会用字典测试字典就是常用的密码

对于MD5被破解是典型的无知没有道德的记者杜撰出来的标题新闻早已不是新闻是某些人的工具

原理是 MD5码的长度是有限的明文的长度是无限的由此得出会有很多不同的明文但MD5码是相同的

王教授的成果是发现了明文到MD5的规律从而可以改变明文得到想要的MD5码但算法未公开而且不能很直接得出所要改变的明文只是得到一个范围

实际情况在大部分时候不如千万级的字典好用因为常用的密码也就那么多

修改删除举报引用回复

ten789
北京求职
等级:
可用分等级：富农
总技术分：2893
总技术分排名：7546

发表于：2008-08-21 04:51:388楼得分:4

既然LZ这么关心安全就说个密码MD5好处的例子吧

假如某个使用某论坛程序的站点
管理员对非写入改目录做了只读处理也就是程序目录模板目录这些不需要写的目录
又对数据库表名和字段名做了非字义处理也就是表名和字段名是随机字符
以上是网站安全常用手段并且非字义处理有软件实现

但论坛程序有执行任意脚本漏洞似乎以前经常有这样漏洞现在好像没有了
主要原因是在处理违例的时候通过cookie传值切忌永远不要相信GET POST COOKIE中的数据拿来都要经过过滤及强制类型转换

某无德人的目的是网页挂马呵呵有很多这样的人

使用傻瓜无德软件上传恶意脚本后发现目录为只读无法更改程序或者模板实现挂马
打开config.php 获得数据库用户名和密码通常数据库用户名和密码都存在这里
浏览数据库发现是经过处理的无法短时间获得目标表名和字段名实际情况也就100多个表正常情况猜也能猜的出来但这些人都是通过数级代理后才入侵的网速慢的仅有数个字节而且经常超时不可能仔细查看所有表名和字段名
打开admin/login.php 获得管理员表名和密码字段通常管理登录都是通过这里 admin这个目录名还是不用为好换个自己都想不到的字符串多好
浏览数据库获得管理员帐号和密码假如这里的密码没有经过md5 呵呵入侵完成通过后台修改模板这个通常是关闭的但可以通过广告模块发布恶意JS代码这个模块一般是可以上传JS代码的
另一种可能密码经过md5处理获得md5后的密码用字典猜解如果密码简单同样入侵成功
如果密码很强大且是MD5处理过的一般人会放弃在数百个文件中查找广告管理模块这很难更不用说读懂代码了一般这些人都很懒并且读代码的能力很差

修改删除举报引用回复

dandande
等级:
可用分等级：富农
总技术分：271
总技术分排名：49348

发表于：2008-08-21 13:12:209楼得分:0

ten789你好，谢谢你，谢谢你给了这么详尽的解答，一定花了你不少时间，非常感谢！
你在7楼写的那段非常精彩：
“MD5码的长度是有限的明文的长度是无限的由此得出会有很多不同的明文但MD5码是相同的”，
这似乎让人触摸到了当初王教授破解MD5的出发点。
我学php一年多了，但因为是自学，你在8楼说的很多我都看不懂，希望得到你进一步的指教：
1。怎样对程序目录做只读处理？
2。怎样对数据库表名和字段名做非字义处理？
3。为什么永远不要相信GET POST COOKIE中的数据？
4。“打开config.php”“打开admin/login.php”，不是说php文件是在服务器端执行的，别人看不到的吗？
再一次谢谢！

修改删除举报引用回复

dandande
等级:
可用分等级：富农
总技术分：271
总技术分排名：49348

发表于：2008-08-25 18:52:3310楼得分:0

请高手指点一下，谢谢！

修改删除举报引用回复

将帖子提前放进我的网摘推荐给好友

我要提问帖子加分结贴去... 管理菜单

网站简介－广告服务－网站地图－帮助－联系方式－诚聘英才－English－问题报告
北京创新乐知广告有限公司版权所有京 ICP 证 070598 号
世纪乐知(北京)网络技术有限公司提供技术支持
Copyright © 2000-2008, CSDN.NET, All Rights Reserved