※ 引述《kencool107 (脸都歪了)》之铭言： : 抱着对MD5应用的一些疑惑去Google了一下 : 看到一篇 : 应用一：储存密码 : 这是 MD5 最常被使用的用途。 : 首先，我们将新使用者所输入的密码字串内容 : (术语称为明码，也就是编码前的密码)， : 传给 MD5 演算函数算出暗码 (编码後的密码)， : 之後我们将该暗码，连同使用者 ID 及其他资料一并存入资料库中。 : 例如使用者帐号为 rock ，密码为 iloverock， : 储存在资料库中的帐号资料格式及内容如下: : rock:85782f5e159d638811a7a8a7fa318754 现在比较安全的方式是 md5($salt + $pw + $salt); $salt = '自己乱打一串很长的东西, 高兴就好'; why?? google: rainbow table : 毕竟比对这种事 应该是写在php里面 使用者应该看不到才对 你家的工作人员每个都可以信任吗? 不管是工程 or 客服 偷偷抄几组 account & pw 出去外面用, 你要认赔还是?? 程式没写很好资料库被抓出来? 一堆公司 ex. linkin, nsas 都被 hack过 你觉得你的程式很强, 强到没有漏洞? 如果有加salt的状况下, 几使DB被抓走, hacker 还是很难 知道user的密码, 尤其你 salt 够长. 外面是很危险的. --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 118.163.12.174