在普通HTTP上安全地传输密码

 更新时间:2007年07月21日 00:00:00   作者:  
1。理论 
    在普通HTTP上,一般表单中的密码都是以明文方式传到服务器进行处理的。这无疑给了坏人以可乘之机!这里我们就说说怎么传输密码才是安全的! 
    与其传输密码本身,到不如传输其加密后的形式。MD5是个不错的选择。第一,不同的资源几乎不可能生成相同的MD5摘要,第二,MD5的编码方式是不可逆推的。有了这些特性,我们就可以让MD5摘要公开的在Internet上传输,而不必担心密码被坏人知道。然后在服务端也将密码通过同样的方式加密,最后比较这两个字符串。 
    然而,我们不能为了登陆而将密码md5后直接通过Internet传输,因为坏人虽然不会知道我们的密码,但肯定会知道这个特殊的字符串可以授权他们访问我们的网站! 
    这就是公匙和私匙要解决的问题,首先由服务器提供一个随机字符串,然后客户端将这个随机字符串和密码相加后再加密! 
    每次登陆时,服务器会产生不同的随机字符串,这样你的密码没有变,但是通过上面的方法加密后的MD5摘要却完全不同。这样就算坏人得到了这些MD5摘要,他们也不可能分析出你的密码! 
    这种方法中,服务器提供的随机字符串叫做"公匙",寿命很短,并可以被任何人利用;你的密码叫做"私匙",寿命很长,而且永远也不会被人知道。 
    2。实现 
    客户端Javascript并没有提供现成的md5算法,但我们在 google 上用 "md5 javascript" 搜索,就可以得到很多md5在Javascript上实现的例子。 
    在PHP中我就不用多说了,直接用md5()这个函数就可以搞定!随机字符串我们可以用session来存储(PHP就是强啊~~) 
    3。注意 
    在JS中,中文都是UTF-8格式的,所以如果你的密码是中文,而且存储在服务端的密码的编码方式是GB2312,那么两个密码加密后的字符串是完全不同的!

相关文章

  • PHP中使用addslashes函数转义的安全性原理分析

    PHP中使用addslashes函数转义的安全性原理分析

    这篇文章主要介绍了PHP中使用addslashes函数转义的安全性原理分析,较为深入的分析了addslashes函数的用法及ecshop自定义函数addslashes_deep的不足之处,非常具有实用价值,需要的朋友可以参考下
    2014-11-11
  • PHP+MySQL插入操作实例

    PHP+MySQL插入操作实例

    这篇文章主要介绍了PHP+MySQL插入操作,实例分析了防SQL注入及插入操作的技巧,需要的朋友可以参考下
    2015-01-01
  • PHP读写文件高并发处理操作实例详解

    PHP读写文件高并发处理操作实例详解

    这篇文章主要介绍了PHP读写文件高并发处理操作,结合实例形式较为详细的分析了php高并发访问读写操作相关处理操作技巧,需要的朋友可以参考下
    2018-03-03
  • 介绍一些PHP判断变量的函数

    介绍一些PHP判断变量的函数

    与其他语言不同,PHP不是一种严格的类型语言。基本上,这意味着开发者在使用一个变量前,不必明确地设定这个变量的类型(数字、字符串、布尔值)。相反,PHP解释程序根据存储在变量中的信息自动探测变量的类型
    2012-04-04
  • php实现监控varnish缓存服务器的状态

    php实现监控varnish缓存服务器的状态

    这篇文章主要介绍了php实现监控varnish缓存服务器的状态,Varnish是一款高性能的开源HTTP加速器,可以替代Squid、Nginx等服务器,需要的朋友可以参考下
    2014-12-12
  • 关于PHP中interface的用处详解

    关于PHP中interface的用处详解

    这篇文章主要给大家介绍了关于PHP中interface的用处的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者使用PHP具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2020-07-07
  • php数组相加 array(“a”)+array(“b”)结果还是array(“a”)

    php数组相加 array(“a”)+array(“b”)结果还是array(“a”)

    同一个数组里面如果有相同的键名,则前面一个键名的值将会被覆盖(overwritten)
    2012-09-09
  • ini_set的用法介绍

    ini_set的用法介绍

    PHP ini_set用来设置php.ini的值,在函数执行的时候生效,对于虚拟空间来说,很方便,下面为大家介绍下此方法的使用
    2014-01-01
  • PHP版微信第三方实现一键登录及获取用户信息的方法

    PHP版微信第三方实现一键登录及获取用户信息的方法

    这篇文章主要介绍了PHP版微信第三方实现一键登录及获取用户信息的方法,较为详细的分析了微信第三方登陆的相关注意事项与实现技巧,需要的朋友可以参考下
    2016-10-10
  • 详解PHP中的Traits

    详解PHP中的Traits

    本文介绍了PHP中的Traits,Traits是一种为类似PHP的单继承语言而准备的代码复用机制,需要的朋友可以参考下
    2015-07-07

最新评论