php post пароли?

Question

Мне очень интересно узнать, как защитить пароли php.

Главный вопрос: как отправить пароль в виде защищенной строки из формы входа?

Я проверял, как это делают другие сайты, например. facebook. Когда я вхожу в систему в facebook, я вообще не вижу свой пароль, это просто длинная зашифрованная строка.

Как преобразовать поле пароля в зашифрованную строку перед отправкой? Это делается с помощью ajax?

Приветствия Ke

Answer 1

Проверьте протокол о HTTPS protocol

передачи гипертекста Secure (HTTPS) представляет собой комбинацию протокола передачи гипертекста с/протокола SSL TLS для шифрования и обеспечения идентификация сервера. HTTPS-соединения часто используются для платежных операций в World Wide Web и для конфиденциальных транзакций в корпоративных информационных системах. HTTPS не следует путать с безопасным HTTP (S-HTTP), указанным в RFC 2660.

Если вы не можете включить HTTPS для своего сайта и не хотите публиковать пароли cleartext (по очевидным соображениям безопасности), рассмотрите возможность использования Challenge-Response Authentication.

Просто google for various PHP/Javascript implementations и выберите тот, который вам нравится.

Answer 2

Если вы не можете использовать безопасное соединение, вы можете зашифровать пароль перед отправкой.

JavaScript-псевдокод:

onSubmit: 
    PASSWORDFIELD.value = md5(PASSWORDFIELD.value) 

Вы тогда иметь MD5 зашифрованный пароль на стороне клиента, который затем отправить на сервер (нет необходимости использовать AJAX). На стороне сервера вы должны сравнить его с зашифрованным паролем, хранящимся в базе данных, чтобы проверить, разрешен ли пользователь.

Answer 3

согласно Select0r Я сделал это, чтобы не изменить значение счетчика * -s после завершения заполнения:

onSubmit='encrypt_pass(this)' 

и

function encrypt_pass(form){ 
    form.pass_md5.value = md5(form.pass.value); //needs a hidden pass_md5 field 
    var stars = ""; 
    for(i=0;i<form.pass.value.length;i++) 
     stars = stars+"*"; 
    form.pass.value = stars; 
}