文档章节

再次抨击PHP程序的加密策略

南湖船老大
 南湖船老大
发布于 2016/10/04 19:49
字数 1260
阅读 630
收藏 1
点赞 3
评论 1
PHP

好久不上SG,刚登陆SG,看到了一年前对SG某个贴子的回复和一些讨论(PHP处理密码的几种方式)。贴子里提到了几种常用的加密方法,对其中大部分内容我还是同意的,但对部分内容持否定态度。

   文中提到了Bcrypt和Password Hashing API这两个东西。这两个东西,非PHP程序员肯定不清楚,因为这是PHP里的私有实现。具体说就是PHP语言自己把一些算法杂糅在一起,然后通过改装产生的一系列加密算法。比如,Password Hashing API是PHP 5.5之后有的新特性,它主要是提供下面几个函数供PHPer使用:

password_hash() – 对密码加密.
password_verify() – 验证已经加密的密码,检验其hash字串是否一致.
password_needs_rehash() – 给密码重新加密.
password_get_info() – 返回加密算法的名称和一些相关信息.

    通过PHP文档,大致可以了解到hashing API实际就是对crypt的封装,而crypt又是什么鬼呢?PHP官方的文档说了,crypt() 返回一个基于标准 UNIX DES 算法或系统上其他可用的替代算法的散列字符串。说白了就是一个散列函数,但是和我们常见的不同,是PHP自己又做了一层封装,包括对可选算法和秘钥产生的自动处理。我们知道,PHP是C语言的一种脚本,很显然这个crypt来自于原始的linux和C下。PHP通过用户提供的盐值的样式来使用不同的加密方式,这野路子就野的就有点尴尬了。而且PHP文档还提到:

    从 PHP 5.3.0 起,PHP 包含了它自己的实现,并将在系统缺乏相应算法支持的时候使用它自己的实现。

    这就有问题了。

    PHP的这些私货,在其他语言里行得通吗?我记得6年前,我在用Java做移动项目时,有同事拿来了一套PHP的系统,这套系统已经有一定的用户人群了,现在需要整合这两套系统的用户。问题出来了,PHP系统用的PHP的crypt函数来加密密码的,Java无法处理,网上Google了java版的crypt加密,结果当然是没用的。完全没辙了,看PHP手册,PHP手册说得很含糊,看PHP源码也没看出啥头绪。研究了一个下午后,最后决定是重置所有用户密码,了事。

    当然,可能有人会说,可以用oauth做第三方授权啊,但是2010年的时候,oauth也仅仅是刚发展而已,而且当时的业务也不适合用oauth的方案去解决。或许还有人想,可以用PHP提供服务啊,可是仅仅为了一个加密就配一套PHP环境,真的好么?还有人会说,凭啥PHP要照顾你其他语言,那请你走开!此后,又看到这么加密的我就头疼。

   问题就在这。PHP的私货导致Java无法简单快捷地处理PHP加密后的数据。仅仅是Java无法处理吗?我还Google了python,C#,Lua,JavaScript等语言对PHP这套东西的兼容性,问题很多。除非你对加密算法细节了解的很深,并且去深入阅读PHP的C源码。可是,至于吗?那么多标准的,通用的加密函数为什么不用,非要用私货?你做的只是一个网站,而不是军工产品。网站是需要交互,需要协作的。

    IT界老同志早就告诫过我们,“不要自己实现私有加密算法”,一方面是告诫我们不要自不量力自己搞一套标准出来,另外一方面也告诉我们,尽量保证加密算法的兼容性,方便移植。完全可以使用兼容性更好的AES,XXTEA,RSA等算法,这些算法一方面主流语言都有兼容的实现,另一方面加密强度都足够保证安全性。

    不幸的是,我看到大多野路子PHPer喜欢自己搞一套加密算法,7,8年前,有人在最大的PHP论坛发帖说自己搞了一套加密算法,为此我还跟其争论了很久。8年后,自己搞加密算法的人少了,然而多语言开发变得越来越普遍,但愿少一些喜欢用私货的PHPer。

来自:http://baicai.me/article/php_crypt_wrong.html

© 著作权归作者所有

共有 人打赏支持
南湖船老大
粉丝 676
博文 11
码字总数 10246
作品 0
深圳
其他
加载中

评论(1)

qie_zhenxi
qie_zhenxi
是的,程序是需要交互的,不用重新发明轮子!
APDPlat中的用户密码安全策略

互联网时代,安全是永恒的主题,威胁无处不在,哪怕是在企业内网。 APDPlat充分考虑到了安全的问题: 首先,在浏览器中对用户密码加入复杂字符({用户信息})之后进行加密(Secure Hash Alg...

杨尚川 ⋅ 2014/03/11 ⋅ 0

App Store 存在漏洞 恶意程序能轻易通过审批

8月18日编译据美国科技资讯网CNET报道,研究者再次让一款恶意程序顺利通过了苹果App Store的应用程序审批过程,这证明了苹果应用商店仍然存在漏洞。 麻省理工学院著名科技杂志Technology Re...

oschina ⋅ 2013/08/18 ⋅ 10

我的服务器攻击别人了!! (已解决,把肉鸡抓住了!)

在星期五的时候,上着上着,突然页面打开相当慢。 原本以为是网络问题,没大留意。但频繁出现数次,还居然一直持续。 在Cacti中查看,网卡占用居然达到机房百兆宽带的所有,12m/s 查看网卡的...

范堡 ⋅ 2010/11/07 ⋅ 20

Telegram撤销原定ICO计划,两轮销售募集已达17亿美元

雷锋网注:图片 via The Verge 雷锋网5月3日消息 据外媒 The Verge 报道,安全信息服务商Telegram将取消其原定的 ICO(首次代币发行)计划,这也意味着该公司不会向公众开放销售其数字货币。...

李秀琴 ⋅ 05/03 ⋅ 0

JFinal Weixin 1.1 发布,微信极速 SDK

JFinal Weixin 1.1 主要添加了消息加密功能,以及对 access token 意外失效问题做出了处理。 access token 通常会因为外部原因而意外失效: 1:项目中 AccessTokenApi 在获取到 access token...

JFinal ⋅ 2014/12/04 ⋅ 17

亚马逊嘲讽甲骨文:没有新公司会用Oracle

  【IT168 评论】近日,亚马逊(AWS)首席执行官Andy Jassy在亚马逊西雅图总部接受国外媒体专访时,不仅谈到了数据库作为云竞争的一个纽带,还谈到了AWS将如何击败甲骨文,并毫不掩饰的嘲讽竞...

it168网站 ⋅ 2017/11/29 ⋅ 0

加密软件测试结果对比分析

最近,我们单位在优选加密软件,根据网上的介绍,有俩家公司都说自己是第一,一家叫山丽网安的说是加密软件全国排名第一,他们提供的产品叫防水墙加密软件,另外一家叫亿赛通说自己是国内品牌...

zhu19820723 ⋅ 2011/07/04 ⋅ 2

linux XFRM整体框架简单分析

原文地址:http://hi.baidu.com/jonathan2004/blog/item/7893eeed35c28626adafd578.html Linux 的 XFRM框架多简单阿。6年前整理过,到现在还记得基本原理,说明xfrm设计的是多么简单明了。 ...

bigfish__ ⋅ 2012/02/20 ⋅ 0

SuperSocket 1.6.5 发布,1.6 系列最后一个版本

SuperSocket 1.6.5 今天发布了,SuperSocket时隔近一年再次发布新的版本。此版本也将是1.6系列的最后一个版本。 此版本包含如下改进: 修复 NuGet 包中错误的log4net引用版本号; 增加高版本 ...

江振宇 ⋅ 2015/11/03 ⋅ 4

quick-cocos2d-x基于源码加密打包功能的更新策略(3)

前篇: quick-cocos2d-x基于源码加密打包功能的更新策略(1) quick-cocos2d-x基于源码加密打包功能的更新策略(2) 三、更新流程说明及特性分析 A.更新流程 加载初始安装包,载入旧资源列表 取最...

SunLightJuly ⋅ 2013/12/05 ⋅ 8

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Spring Boot整合模板引擎thymeleaf

项目结构 引入依赖pom.xml <!-- 引入 thymeleaf 模板依赖 --><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId......

yysue ⋅ 11分钟前 ⋅ 0

ConstraintLayout使用解析

AndroidStudio3.0创建Project默认的布局就是ConstraintLayout。 AndroidStudio3.0前的可以自己修改,使用ConstraintLayout。 为了要使用ConstraintLayout,我们需要在app/build.gradle文件中...

_OUTMAN_ ⋅ 23分钟前 ⋅ 0

OSChina 周三乱弹 —— 这样的女人私生活太混乱了

Osc乱弹歌单(2018)请戳(这里) 【今日歌曲】 @ 胖达panda :你经历过体验到人生的大起大落吗?我一朋友在10秒内体验了,哈哈。@小小编辑 请点一首《almost lover》送给他。 《almost love...

小小编辑 ⋅ 56分钟前 ⋅ 9

自己动手写一个单链表

文章有不当之处,欢迎指正,如果喜欢微信阅读,你也可以关注我的微信公众号:好好学java,获取优质学习资源。 一、概述 单向链表(单链表)是链表的一种,其特点是链表的链接方向是单向的,对...

公众号_好好学java ⋅ 今天 ⋅ 0

Centos7重置Mysql 8.0.1 root 密码

问题产生背景: 安装完 最新版的 mysql8.0.1后忘记了密码,向重置root密码;找了网上好多资料都不尽相同,根据自己的问题总结如下: 第一步:修改配置文件免密码登录mysql vim /etc/my.cnf 1...

豆花饭烧土豆 ⋅ 今天 ⋅ 0

熊掌号收录比例对于网站原创数据排名的影响[图]

从去年下半年开始,我在写博客了,因为我觉得业余写写博客也还是很不错的,但是从2017年下半年开始,百度已经推出了原创保护功能和熊掌号平台,为此,我也提交了不少以前的老数据,而这些历史...

原创小博客 ⋅ 今天 ⋅ 0

LVM讲解、磁盘故障小案例

LVM LVM就是动态卷管理,可以将多个硬盘和硬盘分区做成一个逻辑卷,并把这个逻辑卷作为一个整体来统一管理,动态对分区进行扩缩空间大小,安全快捷方便管理。 1.新建分区,更改类型为8e 即L...

蛋黄Yolks ⋅ 今天 ⋅ 0

Hadoop Yarn调度器的选择和使用

一、引言 Yarn在Hadoop的生态系统中担任了资源管理和任务调度的角色。在讨论其构造器之前先简单了解一下Yarn的架构。 上图是Yarn的基本架构,其中ResourceManager是整个架构的核心组件,它负...

p柯西 ⋅ 今天 ⋅ 0

uWSGI + Django @ Ubuntu

创建 Django App Project 创建后, 可以看到路径下有一个wsgi.py的问题 uWSGI运行 直接命令行运行 利用如下命令, 可直接访问 uwsgi --http :8080 --wsgi-file dj/wsgi.py 配置文件 & 运行 [u...

袁祾 ⋅ 今天 ⋅ 0

JVM堆的理解

在JVM中,我们经常提到的就是堆了,堆确实很重要,其实,除了堆之外,还有几个重要的模块,看下图: 大 多数情况下,我们并不需要关心JVM的底层,但是如果了解它的话,对于我们系统调优是非常...

不羁之后 ⋅ 昨天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部