最近在学习php,对于安全的一点点小心得。
用php做一个注册/登陆页面时,要记得用对密码进行加密(AES或者RSA)。
Mysql提供了方便使用的AES_ENCRYPT('$password', '$password')函数,可以保证我们在存储密码时至少不是明文状态。这个函数的第一个参数是,要保存的内容而第二个参数则是密钥。一般我们也用要加密的内容作为密钥,这样至少可以保证不会因为密钥泄露而导致用户的密码遭到破解。
同时要注意使用AES加密内容时,内容所在字段类型为二进制的原始内容比如varbinary,同时给予足够的字段长度,因为加密后的内容势必要比原内容冗余。
除此之外,在页面中用户能接受用户输入的地方使用mysql_real_escape_string($_POST['username'])函数进行转义,来防止sql注入。
最后,我觉得前端也有必要使用js进行一定的加密然后将数据传输至后端进行验证,毕竟在如今智能路由和公共免费WiFi越来越多的情况下,在传输层进行抓取应该还是很容易办到的。