Verwendung von crypt() in PHP zur Implementierung der Benutzerauthentifizierung

Autor：Eve Cole Aktualisierungszeit：2009-06-01 18:20:01

Wenn Sie bei der Entwicklung von PHP-Anwendungen keinen neuen Verschlüsselungsalgorithmus entwickeln möchten, können Sie auch die von PHP bereitgestellte Funktion crypt() verwenden, um die Einwegverschlüsselungsfunktion abzuschließen.

crypt() verstehen

Leser, die ein wenig Erfahrung mit Nicht-Windows-Plattformen haben, sind möglicherweise mit crypt() vertraut. Diese Funktion führt eine Funktion aus, die als Einwegverschlüsselung bezeichnet wird. Sie kann einige einfache Codes verschlüsseln, aber sie kann ihrerseits das Passwort nicht wieder in das Original umwandeln einfacher Code. Die Funktion crypt() ist wie folgt definiert.

string crypt (string input_string [, string salt])

Darunter ist der Parameter input_string eine Klartextzeichenfolge, die verschlüsselt werden muss, und der zweite optionale Salt ist eine Bitzeichenfolge, die sich auf das verschlüsselte Passwort auswirken und die Möglichkeit eines Knackens weiter ausschließen kann. Standardmäßig verwendet PHP eine zweistellige DES-Interferenzzeichenfolge. Wenn das System MD5 verwendet (siehe nächster Abschnitt), verwendet PHP eine zwölfstellige Interferenzzeichenfolge. Die Länge der Interferenzzeichenfolge, die das System verwenden wird, kann durch Ausführen des folgenden Befehls ermittelt werden.

print „Meine System-Salt-Größe ist:“ CRYPT_SALT_LENGTH;

crypt() unterstützt 4 Verschlüsselungsalgorithmen. Tabelle 19.1 zeigt die unterstützten Algorithmen und die Länge des entsprechenden Salt-Parameters.

Table crypt() unterstützt vier Verschlüsselungsalgorithmen

Algorithmus	Salt-Länge
CRYPT_STD_DES	2 Zeichen (Standard)
CRYPT_EXT_DES	9 Zeichen
CRYPT_MD5	12 Zeichen beginnend mit $1$
CRYPT_BLOWFISH	16 Zeichen beginnend mit $2$

Oberflächlich betrachtet scheint die Funktion crypt() von geringem Nutzen zu sein, aber diese Funktion wird tatsächlich häufig verwendet, um die Integrität von Systemkennwörtern sicherzustellen. Denn selbst wenn das einseitig verschlüsselte Passwort in die Hände Dritter gerät, wird es keinen großen Nutzen haben, da es nicht in Klartext wiederhergestellt werden kann.

Benutzerauthentifizierung mit crypt() implementieren

Im vorherigen Teil wurde die Funktion crypt() kurz vorgestellt. Anschließend wird sie zur Implementierung der Benutzerauthentifizierung verwendet. Die Ziele, die damit erreicht werden sollen, sind die gleichen wie in Abschnitt 19.2.3.

1 
2 <?php
3 $user_name=$_POST["user_name"];
4 require_once("sys_conf.inc"); //Systemkonfigurationsdatei, einschließlich Datenbankkonfigurationsinformationen
5
6 //Mit der Datenbank verbinden
7 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
8 mysql_select_db($DBNAME); //Datenbank my_chat auswählen
9
10 //Abfrage, ob angemeldete Benutzerinformationen vorhanden sind
11 $str="wählen Sie Namen und Passwort vom Benutzer aus, wobei Name ='$Benutzername'";
12 $result=mysql_query($str,$link_id); //Abfrage ausführen
13 @$rows=mysql_num_rows($result); //Die Anzahl der aus den Abfrageergebnissen erhaltenen Datensätze
14 $user_name=$_SESSION["user_name"];
15 $password=$_POST["password"];
16 $salt = substr($password, 0, 2);
17 $password_en=crypt($password,$salt); //Verwenden Sie crypt(), um das Benutzerpasswort zu verschlüsseln
18
19 //Für alte Benutzer
20 if($rows!=0)
einundzwanzig {
22 list($name,$pwd)=mysql_fetch_row($result);
dreiundzwanzig
24 //Wenn das Passwort korrekt eingegeben wurde
25 if($pwd==$password_en)
26 {
27 $str="update user set is_online =1 where name ='$user_name' and password='$password_en'";
28 $result=mysql_query($str, $link_id);//Abfrage ausführen
29 require("main.php"); //Gehe zur Chat-Seite
30}
31 //Fehler bei der Passworteingabe
32 sonst
33 {
34 require("relogin.php");
35}
36
37 }
38 //Für neue Benutzer schreiben Sie ihre Informationen in die Datenbank
39 sonst
40 {
41 $str="insert into user (name,password,is_online) Values('$user_ name','$password_en',1)";
42 $result=mysql_query($str, $link_id); //Abfrage ausführen
43 require("main.php"); //Gehe zur Chat-Seite
44}
45 //Schließen Sie die Datenbank
46 mysql_close($link_id);
47?＞

Das Beispiel ist der im vorherigen Abschnitt eingeführten Verwendung des XOR-Verschlüsselungsalgorithmus zum Schutz von Benutzerinformationen sehr ähnlich. Der Kernteil besteht darin, dass die Funktion crypt() verwendet wird, um das verschlüsselte Passwort in den Zeilen 16 und 17 zu erhalten In Zeile 25 wird die Datenbank und das verschlüsselte Passwort verglichen, um zu prüfen, ob der Benutzer legitim ist.

Nehmen wir als Nächstes ein Beispiel, um zu sehen, wie das verschlüsselte Passwort aussehen wird.

Wenn der Benutzername beispielsweise rock und das Passwort 123456 lautet, lautet das verschlüsselte Passwort:

12tir.zIbWQ3c

Das Obige implementiert ein einfaches Benutzerauthentifizierungssystem. Bei der Verwendung von crypt() zum Schutz wichtiger vertraulicher Informationen ist zu beachten, dass die Verwendung von crypt() im Standardzustand nicht die sicherste Methode ist und nur in Systemen mit geringeren Sicherheitsanforderungen verwendet werden kann.