Мне очень интересно узнать, как защитить пароли php.
Главный вопрос: как опубликовать пароль в виде защищенной строки из формы входа?
Я проверял, как это делают другие сайты, например. фейсбук. Когда я вхожу в Facebook, я вообще не вижу своего пароля, он просто выглядит как длинная зашифрованная строка.
Как преобразовать поле пароля в зашифрованную строку перед публикацией? Это делается с помощью ajax?
Ура Ке
Проверьте протокол HTTPS.
Защищенный протокол передачи гипертекста (HTTPS) представляет собой комбинацию протокола передачи гипертекста с протоколом SSL/TLS для обеспечения шифрования и безопасной идентификации сервера. Соединения HTTPS часто используются для платежных транзакций во Всемирной паутине и для конфиденциальных транзакций в корпоративных информационных системах. HTTPS не следует путать с защищенным HTTP (S-HTTP), указанным в RFC 2660. .
Если вы не можете включить HTTPS для своего сайта и не хотите публиковать пароли в открытом виде (из очевидных соображений безопасности), рассмотрите возможность использования Аутентификация запрос-ответ.
Просто погуглите различные реализации PHP/Javascript и выберите ту, которая вам подходит. как.
Если вы не можете использовать безопасное соединение, вы можете зашифровать пароль перед отправкой.
JavaScript-псевдокод:
onSubmit:
PASSWORDFIELD.value = md5(PASSWORDFIELD.value)
Затем у вас будет зашифрованный MD5 пароль на стороне клиента, который затем будет отправлен на ваш сервер (нет необходимости использовать AJAX). На стороне сервера вы сравните его с зашифрованным паролем, хранящимся в базе данных, чтобы проверить, авторизован ли пользователь.
согласно Select0r, я сделал это, чтобы не изменять количество *-s после отправки:
onSubmit='encrypt_pass(this)'
а также
function encrypt_pass(form){
form.pass_md5.value = md5(form.pass.value); //needs a hidden pass_md5 field
var stars = "";
for(i=0;i<form.pass.value.length;i++)
stars = stars+"*";
form.pass.value = stars;
}
