Mysql
 sql >> Database >  >> RDS >> Mysql

Come creo e memorizzo le password md5 in mysql

Modifica 09/11/2017:assicurati di dare un'occhiata alla risposta di O Jones.

Prima di tutto MD5 non è il miglior metodo di hashing che potresti usare per questo prova sha256 o sha512

Detto questo, usiamo hash('sha256') invece di md5() per rappresentare la parte di hashing del processo.

Quando crei per la prima volta un nome utente e una password, esegui l'hashing della password grezza con un po' di sale (alcuni caratteri extra casuali aggiunti a ciascuna password per renderla più lunga/più forte).

Potrebbe sembrare qualcosa del genere proveniente dal modulo di creazione utente:

$escapedName = mysql_real_escape_string($_POST['name']); # use whatever escaping function your db requires this is very important.
$escapedPW = mysql_real_escape_string($_POST['password']);

# generate a random salt to use for this account
$salt = bin2hex(mcrypt_create_iv(32, MCRYPT_DEV_URANDOM));

$saltedPW =  $escapedPW . $salt;

$hashedPW = hash('sha256', $saltedPW);

$query = "insert into user (name, password, salt) values ('$escapedName', '$hashedPW', '$salt'); ";

Quindi al login sarà simile a questo:

$escapedName = mysql_real_escape_string($_POST['name']);
$escapedPW = mysql_real_escape_string($_POST['password']);

$saltQuery = "select salt from user where name = '$escapedName';";
$result = mysql_query($saltQuery);
# you'll want some error handling in production code :)
# see http://php.net/manual/en/function.mysql-query.php Example #2 for the general error handling template
$row = mysql_fetch_assoc($result);
$salt = $row['salt'];

$saltedPW =  $escapedPW . $salt;

$hashedPW = hash('sha256', $saltedPW);

$query = "select * from user where name = '$escapedName' and password = '$hashedPW'; ";

# if nonzero query return then successful login