|
|
只要有一點(diǎn)使用非Windows平臺(tái)經(jīng)驗(yàn)的讀者都可能對(duì)crypt()相當(dāng)熟悉,這一函數(shù)完成被稱(chēng)作單向加密的功能,它可以加密一些明碼,但不能反過(guò)來(lái)將密碼重新轉(zhuǎn)換為原來(lái)的明碼。crypt()函數(shù)定義如下。
string crypt (string input_string [, string salt])
其中,input_string參數(shù)是需要加密的明文字符串,第二個(gè)可選的salt是一個(gè)位字串,能夠影響加密的暗碼,進(jìn)一步排除被破解的可能性。缺省情況下,php使用一個(gè)2個(gè)字符的DES干擾串,如果系統(tǒng)使用的是MD5(參考下一節(jié)內(nèi)容),php則會(huì)使用一個(gè)12個(gè)字符的干擾串。可以通過(guò)執(zhí)行下面的命令發(fā)現(xiàn)系統(tǒng)將要使用的干擾串的長(zhǎng)度。
print "My system salt size is: ". CRYPT_SALT_LENGTH;
crypt()支持4種加密算法,表19.1顯示了其支持的算法和相應(yīng)的salt參數(shù)的長(zhǎng)度。
表crypt()支持四種加密算法
| 算法 | Salt長(zhǎng)度 |
| CRYPT_STD_DES | 2-character (Default) |
| CRYPT_EXT_DES | 9-character |
| CRYPT_MD5 | 12-character beginning with $1$ |
| CRYPT_BLOWFISH | 16-character beginning with $2$ |
從表面上看,crypt()的函數(shù)似乎沒(méi)有什么用處,但該函數(shù)的確被廣泛用來(lái)保證系統(tǒng)密碼的完整性。因?yàn)椋瑔蜗蚣用艿目诹罴词孤淙氲谌降氖掷铮捎诓荒鼙贿€原為明文,也沒(méi)有什么大用處。
用crypt()實(shí)現(xiàn)用戶(hù)身份驗(yàn)證
上一部分簡(jiǎn)單介紹了crypt()函數(shù)的功能,下面利用其來(lái)實(shí)現(xiàn)用戶(hù)的身份驗(yàn)證,其所要實(shí)現(xiàn)的目標(biāo)同19.2.3節(jié)所介紹的一致。
復(fù)制代碼 代碼如下:
<!--check_user_crypt.php:使用crypt() 函數(shù)驗(yàn)證用戶(hù)---------------->
<?php
$user_name=$_POST["user_name"];
require_once("sys_conf.inc"); //系統(tǒng)配置文件,包含數(shù)據(jù)庫(kù)配置信息
//連接數(shù)據(jù)庫(kù)
$link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
mysql_select_db($DBNAME); //選擇數(shù)據(jù)庫(kù)my_chat
//查詢(xún)是否存在登錄用戶(hù)信息
$str="select name,password from user where name ='$user_name'";
$result=mysql_query($str,$link_id); //執(zhí)行查詢(xún)
@$rows=mysql_num_rows($result); //取得查詢(xún)結(jié)果的記錄筆數(shù)
$user_name=$_SESSION["user_name"];
$password=$_POST["password"];
$salt = substr($password, 0, 2);
$password_en=crypt($password,$salt); //使用crypt()對(duì)用戶(hù)密碼進(jìn)行加密
//對(duì)于老用戶(hù)
if($rows!=0)
{
list($name,$pwd)=mysql_fetch_row($result);
//如果密碼輸入正確
if($pwd==$password_en)
{
$str="update user set is_online =1 where name ='$user_name' and password='$password_en'";
$result=mysql_query($str, $link_id);//執(zhí)行查詢(xún)
require("main.php"); //轉(zhuǎn)到聊天頁(yè)面
}
//密碼輸入錯(cuò)誤
else
{
require("relogin.php");
}
}
//對(duì)于新用戶(hù),將其信息寫(xiě)入數(shù)據(jù)庫(kù)
else
{
$str="insert into user (name,password,is_online) values('$user_ name','$password_en',1)";
$result=mysql_query($str, $link_id); //執(zhí)行查詢(xún)
require("main.php"); //轉(zhuǎn)到聊天頁(yè)面
}
//關(guān)閉數(shù)據(jù)庫(kù)
mysql_close($link_id);
?>
示例與上一節(jié)所介紹的使用XOR加密算法來(lái)保護(hù)用戶(hù)信息非常類(lèi)似,其核心部分在于第16、17行使用crypt()函數(shù)獲取加密后的密碼,而通過(guò)在第25行比較數(shù)據(jù)庫(kù)中的密碼和加密后的密碼是否相等來(lái)檢查用戶(hù)是否合法。
下面,通過(guò)一個(gè)實(shí)例來(lái)看一下加密后的密碼會(huì)變成什么樣子。
例如,用戶(hù)名為rock,密碼為123456,則加密后的密碼為:
12tir.zIbWQ3c
上面就實(shí)現(xiàn)了一個(gè)簡(jiǎn)單的用戶(hù)身份驗(yàn)證系統(tǒng)。在使用crypt()保護(hù)重要的機(jī)密信息時(shí),需要注意的是,在缺省狀態(tài)下使用crypt()并不是最安全的,只能用在對(duì)安全性要求較低的系統(tǒng)中。
php技術(shù):PHP中使用crypt()實(shí)現(xiàn)用戶(hù)身份驗(yàn)證的代碼,轉(zhuǎn)載需保留來(lái)源!
鄭重聲明:本文版權(quán)歸原作者所有,轉(zhuǎn)載文章僅為傳播更多信息之目的,如作者信息標(biāo)記有誤,請(qǐng)第一時(shí)間聯(lián)系我們修改或刪除,多謝。
