<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<HTML
><HEAD
><TITLE
>加密存储模型</TITLE
><META
NAME="GENERATOR"
CONTENT="Modular DocBook HTML Stylesheet Version 1.79"><LINK
REL="HOME"
TITLE="PHP 手册"
HREF="index.html"><LINK
REL="UP"
TITLE="数据库安全"
HREF="security.database.html"><LINK
REL="PREVIOUS"
TITLE="连接数据库"
HREF="security.database.connection.html"><LINK
REL="NEXT"
TITLE="SQL 注入"
HREF="security.database.sql-injection.html"><META
HTTP-EQUIV="Content-type"
CONTENT="text/html; charset=UTF-8"></HEAD
><BODY
CLASS="sect1"
BGCOLOR="#FFFFFF"
TEXT="#000000"
LINK="#0000FF"
VLINK="#840084"
ALINK="#0000FF"
><DIV
CLASS="NAVHEADER"
><TABLE
SUMMARY="Header navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TH
COLSPAN="3"
ALIGN="center"
>PHP 手册</TH
></TR
><TR
><TD
WIDTH="10%"
ALIGN="left"
VALIGN="bottom"
><A
HREF="security.database.connection.html"
ACCESSKEY="P"
>上一页</A
></TD
><TD
WIDTH="80%"
ALIGN="center"
VALIGN="bottom"
>章 27. 数据库安全</TD
><TD
WIDTH="10%"
ALIGN="right"
VALIGN="bottom"
><A
HREF="security.database.sql-injection.html"
ACCESSKEY="N"
>下一页</A
></TD
></TR
></TABLE
><HR
ALIGN="LEFT"
WIDTH="100%"></DIV
><DIV
CLASS="sect1"
><H1
CLASS="sect1"
><A
NAME="security.database.storage"
>加密存储模型</A
></H1
><P
> SSL/SSH 能保护客户端和服务器端交换的数据,但 SSL/SSH
并不能保护数据库中已有的数据。SSL 只是一个加密网络数据流的协议。
</P
><P
> 如果攻击者取得了直接访问数据库的许可(绕过 web
服务器),敏感数据就可能暴露或者被滥用,除非数据库自己保护了这些信息。对数据库内的数据加密是减少这类风险的有效途径,但是只有很少的数据库提供这些加密功能。
</P
><P
> 对于这个问题,有一个简单的解决办法,就是创建自己的加密机制,然后把它用在 PHP
程序内。PHP 有几个扩展库可以完成这个工作,比如说
<A
HREF="ref.mcrypt.html"
>Mcrypt</A
> 和
<A
HREF="ref.mhash.html"
>Mhash</A
> 等,它们包含多种加密运算法则。脚本在插入数据库之前先把数据加密,以后提取出来时再解密。有关加密如何工作的例子请参考相关手册。
</P
><P
> 对某些真正隐蔽的数据,如果不需要以明文的形式存在(即不用显示),可以考虑用散列算法。使用散列算法最常见的例子就是把密码经过
MD5 加密后的散列存进数据库来代替原来的明文密码。参见
<A
HREF="function.crypt.html"
><B
CLASS="function"
>crypt()</B
></A
> 和 <A
HREF="function.md5.html"
><B
CLASS="function"
>md5()</B
></A
>。
</P
><TABLE
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
CLASS="EXAMPLE"
><TR
><TD
><DIV
CLASS="example"
><A
NAME="AEN6622"
></A
><P
><B
>例 27-1. 对密码字段进行散列加密</B
></P
><TABLE
BORDER="0"
BGCOLOR="#E0E0E0"
CELLPADDING="5"
><TR
><TD
><code><font color="#000000">
<font color="#0000BB"><?php<br /><br /></font><font color="#FF8000">// 存储密码散列<br /></font><font color="#0000BB">$query </font><font color="#007700">= </font><font color="#0000BB">sprintf</font><font color="#007700">(</font><font color="#DD0000">"INSERT INTO users(name,pwd) VALUES('%s','%s');"</font><font color="#007700">,<br /> </font><font color="#0000BB">pg_escape_string</font><font color="#007700">(</font><font color="#0000BB">$username</font><font color="#007700">), </font><font color="#0000BB">md5</font><font color="#007700">(</font><font color="#0000BB">$password</font><font color="#007700">));<br /></font><font color="#0000BB">$result </font><font color="#007700">= </font><font color="#0000BB">pg_query</font><font color="#007700">(</font><font color="#0000BB">$connection</font><font color="#007700">, </font><font color="#0000BB">$query</font><font color="#007700">);<br /><br /></font><font color="#FF8000">// 发送请求来验证用户密码<br /></font><font color="#0000BB">$query </font><font color="#007700">= </font><font color="#0000BB">sprintf</font><font color="#007700">(</font><font color="#DD0000">"SELECT 1 FROM users WHERE name='%s' AND pwd='%s';"</font><font color="#007700">,<br /> </font><font color="#0000BB">pg_escape_string</font><font color="#007700">(</font><font color="#0000BB">$username</font><font color="#007700">), </font><font color="#0000BB">md5</font><font color="#007700">(</font><font color="#0000BB">$password</font><font color="#007700">));<br /></font><font color="#0000BB">$result </font><font color="#007700">= </font><font color="#0000BB">pg_query</font><font color="#007700">(</font><font color="#0000BB">$connection</font><font color="#007700">, </font><font color="#0000BB">$query</font><font color="#007700">);<br /><br />if (</font><font color="#0000BB">pg_num_rows</font><font color="#007700">(</font><font color="#0000BB">$result</font><font color="#007700">) > </font><font color="#0000BB">0</font><font color="#007700">) {<br /> echo </font><font color="#DD0000">'Welcome, $username!'</font><font color="#007700">;<br />} else {<br /> echo </font><font color="#DD0000">'Authentication failed for $username.'</font><font color="#007700">;<br />}<br /><br /></font><font color="#0000BB">?></font>
</font>
</code></TD
></TR
></TABLE
></DIV
></TD
></TR
></TABLE
></DIV
><DIV
CLASS="NAVFOOTER"
><HR
ALIGN="LEFT"
WIDTH="100%"><TABLE
SUMMARY="Footer navigation table"
WIDTH="100%"
BORDER="0"
CELLPADDING="0"
CELLSPACING="0"
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
><A
HREF="security.database.connection.html"
ACCESSKEY="P"
>上一页</A
></TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="index.html"
ACCESSKEY="H"
>起始页</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
><A
HREF="security.database.sql-injection.html"
ACCESSKEY="N"
>下一页</A
></TD
></TR
><TR
><TD
WIDTH="33%"
ALIGN="left"
VALIGN="top"
>连接数据库</TD
><TD
WIDTH="34%"
ALIGN="center"
VALIGN="top"
><A
HREF="security.database.html"
ACCESSKEY="U"
>上一级</A
></TD
><TD
WIDTH="33%"
ALIGN="right"
VALIGN="top"
>SQL 注入</TD
></TR
></TABLE
></DIV
></BODY
></HTML
>
