在將其存儲(chǔ)在MySQL中之前，請(qǐng)使用BCRypt，Argon2或Scrypt（例如bcrypt，argon2或scrypt）等強(qiáng)大的哈希算法在應(yīng)用程序?qū)又羞M(jìn)行哈希密碼，從不存儲(chǔ)純文本密碼。 2。將所得的哈希存儲(chǔ)在足夠大的MySQL列中，例如Varchar（255），以適應(yīng)當(dāng)前和將來(lái)的哈希算法。 3。通過(guò)哈哈提供的密碼來(lái)驗(yàn)證用戶登錄嘗試，並使用php或bcrypt.checkpw（）在python中的pysect_verify（）之類的安全函數(shù)將其與存儲(chǔ)的哈希進(jìn)行比較，從不反向哈哈斯。 4.使用HTTP提高安全性，以保護(hù)運(yùn)輸中的數(shù)據(jù)，實(shí)施限制速率以防止蠻力攻擊，使用準(zhǔn)備好的語(yǔ)句來(lái)防止SQL注入，並依靠現(xiàn)代哈希算法提供的自動(dòng)醃製，而不是手動(dòng)醃製。 5。對(duì)於MySQL自己的用戶帳戶，請(qǐng)使用強(qiáng)密碼，並允許MySQL通過(guò)安全的身份驗(yàn)證插件（例如Caching_sha2_password）處理內(nèi)部散列，避免使用MySQL_Native_password（例如MySQL_NATIDE_PASSWORD）的過(guò)時(shí)方法，從而確保主要密碼安全性在應(yīng)用程序?qū)由现饕S護(hù)在應(yīng)用程序?qū)?，同時(shí)信任MySQL的內(nèi)置機(jī)構(gòu)用於其內(nèi)置機(jī)構(gòu)，以實(shí)現(xiàn)其內(nèi)置機(jī)構(gòu)。

安全地存儲(chǔ)MySQL密碼並不是要直接在MySQL自己的用戶帳戶的數(shù)據(jù)庫(kù)中放置密碼 - 當(dāng)您構(gòu)建將用戶憑據(jù)存儲(chǔ)在MySQL數(shù)據(jù)庫(kù)中的應(yīng)用程序時(shí)，它更為相關(guān)。 MySQL本身在內(nèi)部使用Hashing（例如SHA-256或Caching_sha2_password）來(lái)保護(hù)其用戶密碼，但是如果您指的是如何將密碼安全地存儲(chǔ)在MySQL支持的應(yīng)用程序中，則如何正確執(zhí)行此操作。

1。使用強(qiáng)大的哈希算法（不是純文本）

切勿將密碼存儲(chǔ)在純文本中。保存到MySQL數(shù)據(jù)庫(kù)之前，請(qǐng)始終將它們放置。

使用為密碼設(shè)計(jì)的現(xiàn)代，慢速哈希算法：

• bcrypt
• argon2
• Scrypt

這些對(duì)蠻力和彩虹桌攻擊具有抵抗力。

例如，在PHP中：

 $ password_hash = password_hash（$ password，password_bcrypt）;
//在mysql中存儲(chǔ)$ password_hash

在Python（使用BCrypt）：

進(jìn)口bcrypt
密碼= b“ superSecretPassword”
哈希= bcrypt.hashpw（密碼，bcrypt.gensalt（））
在MySQL列中的＃商店“哈希”（至少需要Varchar（60））

2。在適當(dāng)尺寸的列中存儲(chǔ)哈希

確保您的MySQL表列可以容納完整的哈希。

使用VARCHAR(255)或至少VARCHAR(60)進(jìn)行bcrypt：

創(chuàng)建表用戶（
    id int auto_increment主鍵，
    用戶名varchar（50）唯一不是零，
    passwass_hash varchar（255）不為空
）；

使用VARCHAR(255)為將來(lái)的算法升級(jí)（如Argon2，產(chǎn)生更長(zhǎng)的字符串）提供了空間。

3。使用哈希比較驗(yàn)證密碼

當(dāng)用戶登錄時(shí)，哈希輸入並將其與存儲(chǔ)的哈希進(jìn)行比較：

PHP示例：

 $ stored_hash = //從mysql提取
如果（password_verify（$ input_password，$ stored_hash））{
    //登錄成功
} 別的 {
    //無(wú)效的憑據(jù)
}

Python示例：

如果bcrypt.checkpw（input_password，stored_hash）：
    打印（“登錄成功”）
別的：
    打?。ā盁o(wú)效密碼”）

切勿逆轉(zhuǎn)哈希 - 驗(yàn)證是通過(guò)哈希輸入和匹配來(lái)完成的。

4。添加安全層超越哈希

哈希只是一部分。將其結(jié)合在一起：

• 使用HTTPS - 防止密碼在運(yùn)輸中截獲。
• 實(shí)施費(fèi)率限制- 停止蠻力嘗試。
• 使用準(zhǔn)備好的語(yǔ)句- 查詢用戶數(shù)據(jù)時(shí)避免使用SQL注入。
• 加鹽？ - 不是手動(dòng)。 BCrypt和類似算法會(huì)自動(dòng)處理醃製。除非您真的知道自己在做什麼，否則不要嘗試添加自己的鹽。

5。讓MySQL安全處理自己的用戶密碼

對(duì)於MySQL的內(nèi)部用戶帳戶（例如root或應(yīng)用程序用戶），請(qǐng)使用強(qiáng)密碼，然後讓MySQL管理哈希亞：

創(chuàng)建用“ strongpassword”標(biāo)識(shí)的用戶“ appuser”@'localhost';

MySQL會(huì)使用默認(rèn)身份驗(yàn)證插件自動(dòng)哈希（通常是MySQL 8.0中的caching_sha2_password ）。

檢查用戶的哈希方法：

從mysql.user中選擇用戶，主機(jī)，插件；

如果您想要更強(qiáng)的安全性，請(qǐng)確保它不會(huì)使用mysql_native_password 。

基本上，在MySQL上下文中使用HASHING來(lái)保護(hù)密碼意味著在將其存儲(chǔ)在數(shù)據(jù)庫(kù)中之前，請(qǐng)?jiān)谀膽?yīng)用程序中使用強(qiáng)，自適應(yīng)的哈希，並信任MySQL對(duì)其自己的用戶帳戶的內(nèi)置機(jī)制。數(shù)據(jù)庫(kù)只是存儲(chǔ) - 真正的安全性發(fā)生在應(yīng)用程序?qū)又小?/p>

以上是如何使用哈希保護(hù)MySQL密碼？的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！