快捷導(dǎo)航

PHP中使用crypt()實現(xiàn)用戶身份驗證的代碼

更新時間：2012年09月05日 22:25:30 作者：

在開發(fā)PHP應(yīng)用中如果不想自己開發(fā)新的加密算法，還可以利用PHP提供的crypt()函數(shù)來完成單向加密功能

了解crypt()

　　只要有一點使用非Windows平臺經(jīng)驗的讀者都可能對crypt()相當(dāng)熟悉，這一函數(shù)完成被稱作單向加密的功能，它可以加密一些明碼，但不能反過來將密碼重新轉(zhuǎn)換為原來的明碼。crypt()函數(shù)定義如下。

　　string crypt (string input_string [, string salt])

　　其中，input_string參數(shù)是需要加密的明文字符串，第二個可選的salt是一個位字串，能夠影響加密的暗碼，進(jìn)一步排除被破解的可能性。缺省情況下，PHP使用一個2個字符的DES干擾串，如果系統(tǒng)使用的是MD5(參考下一節(jié)內(nèi)容)，PHP則會使用一個12個字符的干擾串?？梢酝ㄟ^執(zhí)行下面的命令發(fā)現(xiàn)系統(tǒng)將要使用的干擾串的長度。

　　print "My system salt size is: ". CRYPT_SALT_LENGTH;

　　crypt()支持4種加密算法，表19.1顯示了其支持的算法和相應(yīng)的salt參數(shù)的長度。

　　表crypt()支持四種加密算法

算法	Salt長度
CRYPT_STD_DES	2-character (Default)
CRYPT_EXT_DES	9-character
CRYPT_MD5	12-character beginning with $1$
CRYPT_BLOWFISH	16-character beginning with $2$

從表面上看，crypt()的函數(shù)似乎沒有什么用處，但該函數(shù)的確被廣泛用來保證系統(tǒng)密碼的完整性。因為，單向加密的口令即使落入第三方的手里，由于不能被還原為明文，也沒有什么大用處。
　　用crypt()實現(xiàn)用戶身份驗證
　　上一部分簡單介紹了crypt()函數(shù)的功能，下面利用其來實現(xiàn)用戶的身份驗證，其所要實現(xiàn)的目標(biāo)同19.2.3節(jié)所介紹的一致。

復(fù)制代碼代碼如下:

 
<!--check_user_crypt.php:使用crypt() 函數(shù)驗證用戶----------------> 
<?php 
$user_name=$_POST["user_name"]; 
require_once("sys_conf.inc"); //系統(tǒng)配置文件，包含數(shù)據(jù)庫配置信息 
//連接數(shù)據(jù)庫 
$link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD); 
mysql_select_db($DBNAME); //選擇數(shù)據(jù)庫my_chat 
//查詢是否存在登錄用戶信息 
$str="select name,password from user where name ='$user_name'"; 
$result=mysql_query($str,$link_id); //執(zhí)行查詢 
@$rows=mysql_num_rows($result); //取得查詢結(jié)果的記錄筆數(shù) 
$user_name=$_SESSION["user_name"]; 
$password=$_POST["password"]; 
$salt = substr($password, 0, 2); 
$password_en=crypt($password,$salt); //使用crypt()對用戶密碼進(jìn)行加密 
//對于老用戶 
if($rows!=0) 
{ 
list($name,$pwd)=mysql_fetch_row($result); 
//如果密碼輸入正確 
if($pwd==$password_en) 
{ 
$str="update user set is_online =1 where name ='$user_name' and password='$password_en'"; 
$result=mysql_query($str, $link_id);//執(zhí)行查詢 
require("main.php"); //轉(zhuǎn)到聊天頁面 
} 
//密碼輸入錯誤 
else 
{ 
require("relogin.php"); 
} 
} 
//對于新用戶，將其信息寫入數(shù)據(jù)庫 
else 
{ 
$str="insert into user (name,password,is_online) values('$user_ name','$password_en',1)"; 
$result=mysql_query($str, $link_id); //執(zhí)行查詢 
require("main.php"); //轉(zhuǎn)到聊天頁面 
} 
//關(guān)閉數(shù)據(jù)庫 
mysql_close($link_id); 
?> 

示例與上一節(jié)所介紹的使用XOR加密算法來保護(hù)用戶信息非常類似，其核心部分在于第16、17行使用crypt()函數(shù)獲取加密后的密碼，而通過在第25行比較數(shù)據(jù)庫中的密碼和加密后的密碼是否相等來檢查用戶是否合法。

　　下面，通過一個實例來看一下加密后的密碼會變成什么樣子。

　　例如，用戶名為rock，密碼為123456，則加密后的密碼為:

　　12tir.zIbWQ3c

　　上面就實現(xiàn)了一個簡單的用戶身份驗證系統(tǒng)。在使用crypt()保護(hù)重要的機密信息時，需要注意的是，在缺省狀態(tài)下使用crypt()并不是最安全的，只能用在對安全性要求較低的系統(tǒng)中。

您可能感興趣的文章: