PHP에서 crypt()를 사용하여 사용자 인증 구현

저자：Eve Cole 업데이트 시간：2009-06-01 18:20:01

PHP 애플리케이션 개발 시 새로운 암호화 알고리즘을 직접 개발하고 싶지 않다면 PHP에서 제공하는 crypt() 함수를 사용하여 단방향 암호화 기능을 완성할 수도 있습니다.

암호화() 이해

Windows 이외의 플랫폼을 사용해 본 경험이 있는 독자라면 crypt()에 꽤 익숙할 것입니다. 이 함수는 단방향 암호화라는 기능을 수행하지만 일부 일반 코드를 암호화할 수는 있지만 암호를 다시 원래 코드로 변환할 수는 없습니다. 일반 코드. crypt() 함수는 다음과 같이 정의됩니다.

문자열 암호(문자열 input_string [, 문자열 소금])

그 중 input_string 매개변수는 암호화가 필요한 일반 텍스트 문자열이고, 두 번째 선택적 솔트(salt)는 비트 문자열로, 암호화된 비밀번호에 영향을 주고 더 나아가 크랙 가능성을 제거할 수 있습니다. 기본적으로 PHP는 2자 DES 간섭 문자열을 사용합니다. 시스템이 MD5(다음 섹션 참조)를 사용하는 경우 PHP는 12자 간섭 문자열을 사용합니다. 시스템이 사용할 간섭 스트링의 길이는 다음 명령을 실행하여 확인할 수 있습니다.

"내 시스템 솔트 크기는 다음과 같습니다: ".

crypt()는 4개의 암호화 알고리즘을 지원합니다. 표 19.1은 지원되는 알고리즘과 해당 솔트 매개변수의 길이를 보여줍니다.

Table crypt()는 4가지 암호화 알고리즘을 지원합니다.

알고리즘	솔트 길이
CRYPT_STD_DES	2자(기본값)
CRYPT_EXT_DES	9자
CRYPT_MD5	$1$로 시작하는 12자
CRYPT_BLOWFISH	$2$로 시작하는 16자

표면적으로는 crypt() 함수가 거의 사용되지 않는 것처럼 보이지만 이 함수는 실제로 시스템 비밀번호의 무결성을 보장하는 데 널리 사용됩니다. 단방향으로 암호화된 비밀번호는 제3자에게 유출되더라도 일반 텍스트로 복원할 수 없기 때문에 별로 쓸모가 없기 때문입니다.

crypt()를 사용하여 사용자 인증 구현

이전 부분에서는 crypt() 함수의 기능을 간략하게 소개했습니다. 다음으로 이를 사용하여 사용자 인증을 구현합니다. 달성하려는 목표는 19.2.3절에서 소개한 것과 동일합니다.

1 
2 <?php
3 $user_name=$_POST["사용자_이름"];
4 require_once("sys_conf.inc"); //데이터베이스 구성 정보를 포함한 시스템 구성 파일
5
6 //데이터베이스에 연결
7 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
8 mysql_select_db($DBNAME); //데이터베이스 선택 my_chat
9
10 //로그인된 사용자 정보가 있는지 쿼리
11 $str="이름 ='$user_name'인 사용자의 이름, 비밀번호 선택";
12 $result=mysql_query($str,$link_id) //쿼리 실행
13 @$rows=mysql_num_rows($result); //쿼리 결과에서 얻은 레코드 수
14 $user_name=$_SESSION["사용자_이름"];
15 $password=$_POST["비밀번호"];
16 $salt = substr($password, 0, 2);
17 $password_en=crypt($password,$salt); //crypt()를 사용하여 사용자 비밀번호를 암호화합니다.
18
19 //오래된 사용자의 경우
20 if($행!=0)
스물 하나 {
22 list($name,$pwd)=mysql_fetch_row($result);
스물셋
24 //비밀번호가 올바르게 입력되었다면
25 if($pwd==$password_en)
26 {
27 $str="사용자 세트 업데이트 is_online =1 여기서 이름 ='$user_name' 및 비밀번호='$password_en'";
28 $result=mysql_query($str, $link_id);//쿼리 실행
29 require("main.php"); //채팅 페이지로 이동
30}
31 //비밀번호 입력 오류
그 외 32개
33 {
34 require("relogin.php");
35}
36
37 }
38 //신규 사용자의 경우 해당 정보를 데이터베이스에 기록합니다.
그 외 39개
40 {
41 $str="사용자 (name,password,is_online) 값에 삽입('$user_ name','$password_en',1)";
42 $result=mysql_query($str, $link_id) //쿼리 실행
43 require("main.php"); //채팅 페이지로 이동
44}
45 //데이터베이스 닫기
46 mysql_close($link_id);
47?>

이 예는 이전 섹션에서 소개한 사용자 정보를 보호하기 위해 XOR 암호화 알고리즘을 사용하는 것과 매우 유사합니다. 핵심 부분은 crypt() 함수를 사용하여 라인 16과 17에서 암호화된 비밀번호를 얻고, 25번째 줄에서 데이터베이스를 비교하고 암호화된 비밀번호가 일치하여 사용자가 합법적인지 확인합니다.

다음으로, 암호화된 비밀번호가 어떤 모습인지 예를 들어 보겠습니다.

예를 들어 사용자 이름이 rock이고 비밀번호가 123456인 경우 암호화된 비밀번호는 다음과 같습니다.

12tir.zIbWQ3c

위는 간단한 사용자 인증 시스템을 구현한 것입니다. 중요한 기밀 정보를 보호하기 위해 crypt()를 사용할 때 기본 상태에서 crypt()를 사용하는 것은 가장 안전하지 않으며 보안 요구 사항이 낮은 시스템에서만 사용할 수 있다는 점에 유의해야 합니다.