Utiliser crypt() en PHP pour implémenter l'authentification des utilisateurs

Auteur：Eve Cole Date de mise à jour：2009-06-01 18:20:01

Si vous ne souhaitez pas développer vous-même un nouvel algorithme de chiffrement lors du développement d'applications PHP, vous pouvez également utiliser la fonction crypt() fournie par PHP pour compléter la fonction de chiffrement unidirectionnel.

Comprendre la crypte()

Les lecteurs qui ont un peu d'expérience dans l'utilisation de plates-formes non Windows sont peut-être assez familiers avec crypt(). Cette fonction exécute une fonction appelée cryptage unidirectionnel. Elle peut crypter certains codes bruts, mais elle ne peut pas à son tour reconvertir le mot de passe en son original. code simple. La fonction crypt() est définie comme suit.

chaîne crypte (chaîne input_string [, chaîne sel])

Parmi eux, le paramètre input_string est une chaîne de texte en clair qui doit être cryptée, et le deuxième sel facultatif est une chaîne de bits, ce qui peut affecter le mot de passe crypté et éliminer davantage la possibilité d'être piraté. Par défaut, PHP utilise une chaîne d'interférence DES de 2 caractères. Si le système utilise MD5 (voir la section suivante), PHP utilisera une chaîne d'interférence de 12 caractères. La longueur de la chaîne d'interférence que le système utilisera peut être trouvée en exécutant la commande suivante.

print "La taille du sel de mon système est : ".

crypt() prend en charge 4 algorithmes de chiffrement. Le tableau 19.1 montre les algorithmes pris en charge et la longueur du paramètre salt correspondant.

Table crypt() prend en charge quatre algorithmes de chiffrement

Algorithme	Longueur du sel
CRYPT_STD_DES	2 caractères (par défaut)
CRYPT_EXT_DES	9 caractères
CRYPT_MD5	12 caractères commençant par 1 $
CRYPT_BLOWFISH	16 caractères commençant par 2 $

En apparence, la fonction crypt() semble peu utile, mais cette fonction est en effet largement utilisée pour garantir l'intégrité des mots de passe système. Car même si le mot de passe crypté unidirectionnel tombe entre les mains d’un tiers, il ne sera pas d’une grande utilité puisqu’il ne peut pas être restauré en texte brut.

Implémentation de l'authentification utilisateur à l'aide de crypt()

La partie précédente a brièvement présenté la fonction crypt(). Ensuite, elle est utilisée pour implémenter l'authentification des utilisateurs. Les objectifs qu'elle souhaite atteindre sont les mêmes que ceux introduits dans la section 19.2.3.

1 
2<?php
3 $nom_utilisateur=$_POST["nom_utilisateur"];
4 require_once("sys_conf.inc"); //Fichier de configuration du système, comprenant les informations de configuration de la base de données
5
6 //Se connecter à la base de données
7 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
8 mysql_select_db($DBNAME); //Sélectionner la base de données my_chat
9
10 //Demande si des informations utilisateur sont connectées
11 $str="sélectionner le nom, le mot de passe de l'utilisateur où nom ='$user_name'";
12 $result=mysql_query($str,$link_id); //Exécuter la requête
13 @$rows=mysql_num_rows($result); //Le nombre d'enregistrements obtenus à partir des résultats de la requête
14 $nom_utilisateur=$_SESSION["nom_utilisateur"];
15 $mot de passe=$_POST["mot de passe"];
16 $sel = substr($mot de passe, 0, 2);
17 $password_en=crypt($password,$salt); //Utilisez crypt() pour crypter le mot de passe de l'utilisateur
18
19 //Pour les anciens utilisateurs
20 si($lignes!=0)
vingt-et-un {
22 list($nom,$pwd)=mysql_fetch_row($result);
vingt-trois
24 //Si le mot de passe est correctement saisi
25 si($pwd==$password_en)
26 {
27 $str="mettre à jour l'ensemble d'utilisateurs is_online =1 où nom ='$user_name' et password='$password_en'";
28 $result=mysql_query($str, $link_id);//Exécuter la requête
29 require("main.php"); //Aller à la page de discussion
30}
31 //Erreur de saisie du mot de passe
32 autres
33 {
34 require("relogin.php");
35}
36
37 }
38 //Pour les nouveaux utilisateurs, écrivez leurs informations dans la base de données
39 autres
40 {
41 $str="insérer dans les valeurs de l'utilisateur (nom, mot de passe, est_en ligne)('$user_ name','$password_en',1)";
42 $result=mysql_query($str, $link_id); //Exécuter la requête
43 require("main.php"); //Aller à la page de discussion
44}
45 //Fermer la base de données
46 mysql_close($link_id);
47?＞

L'exemple est très similaire à l'utilisation de l'algorithme de cryptage XOR pour protéger les informations utilisateur présentée dans la section précédente. La partie essentielle est que la fonction crypt() est utilisée pour obtenir le mot de passe crypté aux lignes 16 et 17, ainsi que le mot de passe dans. la base de données est comparée à la ligne 25. et le mot de passe crypté sont égaux pour vérifier si l'utilisateur est légitime.

Prenons ensuite un exemple pour voir à quoi ressemblera le mot de passe crypté.

Par exemple, si le nom d'utilisateur est rock et le mot de passe 123456, le mot de passe crypté est :

12tir.zIbWQ3c

Ce qui précède implémente un système d'authentification utilisateur simple. Lorsque vous utilisez crypt() pour protéger des informations confidentielles importantes, il convient de noter que l'utilisation de crypt() dans l'état par défaut n'est pas la plus sécurisée et ne peut être utilisée que dans des systèmes ayant des exigences de sécurité moindres.