当通过ajax发送并清理和验证php中的登录名时,我真的对哈希密码感到困惑。
在通过ajax发送密码之前,我应该先对密码进行哈希处理吗?如果我要进行清理和验证哈希密码并在数据库中存储另一个由ajax提交的哈希密码哈希,该怎么办?我知道对javascript哈希密码进行哈希处理在这里没有任何意义。
任何人都可以说出通过ajax发送密码并在php中进行清理/验证的最佳实践是什么。
常用方法是将密码以纯文本形式发送到服务器(在您的情况下,进行AJAX调用),然后在服务器中进行哈希处理,然后再访问数据库,以创建一个新用户来检查是否插入了密码是正确的。
如果您不在线使用HTTPS,则可能希望在客户端上执行哈希操作,只是使黑客更难于检索明文密码。当然,最好还是使用HTTPS。
还有一种称为“安全远程密码”的加密协议,旨在使词典难以攻击用户的密码。但是,需要花费一些工作才能实现。
http://en.wikipedia.org/wiki/Secure_Remote_Password_protocol