仓酷云

标题: PHP网页编程之PHP平安编程之加密功效 [打印本页]

作者: 小魔女 时间: 2015-2-4 00:25
标题: PHP网页编程之PHP平安编程之加密功效
PHP于1994年由Rasmus Lerdorf创建，刚刚开始是Rasmus Lerdorf为了要维护个人网页而制作的一个简单的用Perl语言编写的程序。平安|编程|加密数据加密在咱们生涯中的位置已愈来愈主要了，特别是思索到在收集上产生的大批买卖和传输的大批数据。假如关于采取平安办法有乐趣的话，也必定会有乐趣懂得PHP供应的一系列平安功效。在本篇文章中，咱们将引见这些功效，供应一些根基的用法，以便你可以为本人的使用软件中增添平安功效。

　　准备常识
　　在具体引见PHP的平安功效之前，咱们需求花点工夫来向没有接触过这方面内容的读者引见一些有关暗码学的根基常识，假如对暗码学的根基概念已十分熟习，就能够跳曩昔这一局部。

　　暗码学可以浅显地被描写为对加/解密的研讨和实行，加密是将易懂的材料转换为不容易懂材料的进程，解密则是将不容易懂的材料转换为本来易懂材料的进程。不容易懂的材料被称作暗码，易懂的材料被称作密码。

　　数据的加/解密都需求必定的算法，这些算法可以十分地复杂，如有名的凯撒码，但以后的加密算法要绝对庞杂很多，个中一些使用现有的办法乃至是没法破译的。

　　PHP的加密功效
　　只需有一点利用非Windows平台经历的人能够对crypt()也相当熟习，这一函数完成被称作单向加密的功效，它可以加密一些密码，但不克不及够将暗码转换为本来的密码。虽然从外表下去看这仿佛是一个没有甚么用途的功效，但它切实其实被普遍用来包管体系暗码的完全性。由于，单向加密的口令一旦落入第三方人的手里，因为不克不及被复原为明文，因而也没有甚么大用途。在验证用户输出的口令时，用户的输出采取的也是单向算法，假如输出与存储的经加密后的口令相婚配，则输出的口信必定是准确的。

　　PHP一样供应了利用其crypt()函数完成单向加密功效的能够性。我将在这里扼要地引见该函数：

string crypt (string input_string [, string salt])
　　个中的input_string参数是需求加密的字符串，第二个可选的salt是一个位字串，它可以影响加密的密码，进一步地扫除被称作估计算进击的能够性。缺省情形下，PHP利用一个2个字符的DES搅扰串，假如你的体系利用的是MD5（我将在今后引见MD5算法），它会利用一个12个字符的搅扰串。特地说一下，可以经由过程履行上面的号令发明体系将要利用的搅扰串的长度：

print "My system salt size is: ". CRYPT_SALT_LENGTH;
　　体系也能够撑持其他的加密算法。crypt()撑持四种算法，上面是它撑持的算法和响应的salt参数的长度：

算法 Salt长度
CRYPT_STD_DES 2-character (Default)
CRYPT_EXT_DES 9-character
CRYPT_MD5 12-character beginning with 102/td>
CRYPT_BLOWFISH 16-character beginning with 102/td>

　　用crypt()完成用户身份验证
　　作为crypt()函数的一个例子，思索如许一种情形，你但愿创立一段PHP剧本法式限制对一个目次的会见，只答应可以供应准确的用户名和口令的用户会见这一目次。我将把材料存储在我喜好的数据库MySQL的一个表中。上面咱们以创立这个被称作members的表入手下手咱们的例子：

mysql>CREATE TABLE members (
->username CHAR(14) NOT NULL,
->password CHAR(32) NOT NULL,
->PRIMARY KEY(username)
->);

　　然后，咱们假定上面的数据已存储在该表中：

用户名暗码
clark keloD1C377lKE
bruce ba1T7vnz9AWgk
peter paLUvRWsRLZ4U

　　这些加密的口令对应的密码分离是kent、banner和parker。注重一下每一个口令的前二个字母，这是由于我利用了上面的代码，依据口令的前二个字母创立搅扰串的：

.
= substr(, 0, 2);
= crypt(, );
// 然后就和用户名一同存储在MySQL中

　　我将利用Apache的口令-应对认证设置装备摆设提醒用户输出用户名和口令，一个不为人知的有关PHP的信息是，它可以把Apache的口令-应对体系输出的用户名和口令辨认为和，我将在身份验证剧本顶用到这二个变量。花一些工夫细心浏览上面的剧本，多注重一下个中的注释，以便更好地舆解上面的代码：

　　crypt()和Apache的口令-应对验证体系的使用
<?php

= "localhost";
= "zorro";
= "hellodolly";
= "users";

// Set authorization to False

= 0;

// Verify that user has entered username and password

if (isset() && isset()) :

mysql_pconnect(, , ) or die("Can't connect to MySQL
server!");

mysql_select_db() or die("Can't select database!");

// Perform the encryption
= substr(, 0, 2);
= crypt(, );

// Build the query

= "SELECT username FROM members WHERE
username = '' AND
password = ''";

// Execute the query

if (mysql_numrows(mysql_query()) == 1) :
= 1;
endif;

endif;

// confirm authorization

if (! ) :

header('WWW-Authenticate: Basic realm="Private"');
header('HTTP/1.0 401 Unauthorized');
print "You are unauthorized to enter this area.";
exit;

else :

print "This is the secret data!";

endif;

?>

　　下面就是一个核适用户会见权限的复杂身份验证体系。在利用crypt()回护主要的秘密材料时，记住在缺省形态下利用的crypt()并非最平安的，只能用在对平安性请求较低的体系中，假如需求较高的平安功能，就需求我在本篇文章的前面引见的算法。

　　上面我将引见另外一个PHP撑持的函数━━md5()，这一函数利用MD5散列算法，它有几种很风趣的用法值得一提：

　　混编
　　一个混编函数可以将一个可变长度的信息变换为具有固定长度被混编过的输入，也被称作“信息文摘”。这是非常有效的，由于一个固定长度的字符串可以用来反省文件的完全性和验证数字签名和用户身份验证。因为它合适于PHP，PHP内置的md5()混编函数将把一个可变长度的信息转换为128位（32个字符）的信息文摘。混编的一个风趣的特色是不克不及经由过程剖析混编后的信息失掉本来的密码，由于混编后的了局与本来的密码内容没有依附关系。即使只改动一个字符串中的一个字符，也将使得MD5混编算法盘算出二个一模一样的了局。咱们起首来看下表的内容及其响应的了局：

　
利用md5()混编字符串
<?php
= "This is some message that I just wrote";
= md5();
print "hash: ";
?>

　　了局：

hash: 81ea092649ca32b5ba375e81d8f4972c
　　注重，了局的长度为32个字符。再来看一下上面的表，个中的的值有了一点巨大的变更：

利用md5()对一个略微变更的字符串停止混编
<?php
//注重，message中少了一个s
= "This is some mesage that I just wrote";
= md5();
print "hash2: <br /><br />";
?>

　　了局：

hash2: e86cf511bd5490d46d5cd61738c82c0c
　　可以发明，虽然二个了局的长度都是32个字符，但明文中一点巨大的变更使得了局产生了很大的变更，因而，混编和md5()函数是反省数据中巨大变更的一个很好的东西。

　　虽然crypt()和md5()各有效处，但两者在功效上都遭到必定的限制。鄙人面的局部中，咱们将引见二个十分有效的被称作Mcrypt和Mhash的PHP扩大，将大大拓展PHP用户在加密方面的选择。

　　虽然咱们在下面的大节中申明了单向加密的主要性，但有时咱们能够需求在加密后，再把暗码数据复原成本来的数据，侥幸的是，PHP经由过程Mcrypt扩大库的模式供应了这类能够性。

　　Mcrypt
Mcrypt 2.5.7 Unix | Win32
　　Mcrypt 2.4.7是一个功效壮大的加密算法扩大库，它包含有22种算法，个中就包含上面的几种算法：

Blowfish RC2 Safer-sk64 xtea
Cast-256 RC4 Safer-sk128
DES RC4-iv Serpent
Enigma Rijndael-128 Threeway
Gost Rijndael-192 TripleDES
LOKI97 Rijndael-256 Twofish
PanamaSaferplus Wake
　　装置：
　　在尺度的PHP软件包中不包含Mcrypt，因而需求下载它，下载的地址为：ftp://argeas.cs-net.gr/pub/unix/mcrypt/。下载后，依照上面的办法停止编译，并把它扩大在PHP中：

下载Mcrypt软件包。
gunzipmcrypt-x.x.x.tar.gz
tar -xvfmcrypt-x.x.x.tar
./configure --disable-posix-threads
make
make install
cd to your PHP directory.
./configure -with-mcrypt=[dir] [--other-configuration-directives]
make
make install
　　固然了，依据你的请求和PHP装置时与互联网办事器软件的关系，下面的进程能够需求作恰当的修正。

　　利用Mcrypt
　　Mcrypt的长处不单单在于其供应的加密算法较多，还在于它可以对数据停止加/解密处置，另外，它还供应了35种处置数据用的函数。虽然对这些函数停止具体引见已超越了这篇文章的局限，我仍是要就几个典范的函数作一下扼要的引见。

　　起首，我将引见若何利用Mcrypt扩大库对数据停止加密，然后再引见若何利用它停止解密。上面的代码对这一进程停止了演示，起首是对数据停止加密，然后在阅读器上显示加密后的数据，并将加密后的数据复原为本来的字符串，将它显示在阅读器上。

利用Mcrypt对数据停止加、解密
<?php

// Designate string to be encrypted
= "Applied Cryptography, by Bruce Schneier, is
a wonderful cryptography reference.";

// Encryption/decryption key
key = "Four score and twenty years ago";

// Encryption Algorithm
= MCRYPT_RIJNDAEL_128;

// Create the initialization vector for added security.
= mcrypt_create_iv(mcrypt_get_iv_size(,
MCRYPT_MODE_ECB), MCRYPT_RAND);

// Output original string
print "Original string: <p>";

// Encrypt
= mcrypt_encrypt(, key,
, MCRYPT_MODE_CBC, );

// Convert to hexadecimal and output to browser
print "Encrypted string: ".bin2hex()."<p>";

= mcrypt_decrypt(, key,
, MCRYPT_MODE_CBC, );

print "Decrypted string: ";

?>

履行下面的剧本将会发生上面的输入：

Original string: Applied Cryptography, by Bruce Schneier, is a wonderful cryptography reference.

Encrypted string: 02a7c58b1ebd22a9523468694b091e60411cc4dea8652bb8072 34fa06bbfb20e71ecf525f29df58e28f3d9bf541f7ebcecf62b c89fde4d8e7ba1e6cc9ea24850478c11742f5cfa1d23fe22fe8 bfbab5e

Decrypted string: Applied Cryptography, by Bruce Schneier, is a wonderful cryptography reference.

　　下面的代码中二个最典范的函数是mcrypt_encrypt()和mcrypt_decrypt()，它们的用处是不言而喻的。我利用了“电报暗码本”形式，Mcrypt供应了几种加密体例，因为每种加密体例都有可以影响暗码平安的特定字符，因而每种形式都需求懂得。关于没有接触过暗码体系的读者来讲，能够对mcrypt_create_iv()函数更有乐趣，虽然对这一函数停止完全的注释已超越了本篇文章的局限，但我依然会提到它创立的初始化向量（hence, iv），这一贯量可使每条信息彼此自力。虽然不是一切的形式都需求这一初始化变量，但假如在请求的形式中没有供应这一变量，PHP就会给出正告信息。

　　Mhash扩大库
http://sourceforge.net/projects/mhash/

　　0.8.3版的Mhash扩大库撑持12种混编算法，细心反省Mhash v.0.8.3的头文件mhash.h可以晓得，它撑持上面的混编算法：

CRC32 HAVAL160 MD5
CRC32B HAVAL192 RIPEMD160
GOST HAVAL224 SHA1
HAVAL128 HAVAL256 TIGER
装置
　　象Mcrypt一样，Mhash也没有包含在PHP软件包中，关于非Windows用户而言，上面是装置进程：

下载Mhash扩大库
gunzipmhash-x.x.x.tar.gz
tar -xvfmhash-x.x.x.tar
./configure
make
make install
cd <PHP地点的目次>
./configure -with-mhash=[dir] [--other-configuration-directives]
make
make install
　　象Mcrypt一样，依据PHP在互联网办事器软件上的装置体例，能够需求对Mhash停止其他的设置装备摆设。

　　关于Windows用户而言，http://www.php4win.de中有一个很好的包含Mhash扩大库在内的PHP软件包。只需下载并停止解紧缩，然后依据个中的readme.first文档中的指令停止装置便可。

利用Mhash
　　对信息停止混编十分复杂，看一下上面的例子：

<?php
= MHASH_TIGER;
= "These are the directions to the secret fort. Two steps left, three steps right, and cha chacha.";
= mhash(, );
print "The hashed message is ". bin2hex();
?>

　　履行这一段剧本法式将失掉上面的输入了局：

The hashed message is 07a92a4db3a4177f19ec9034ae5400eb60d1a9fbb4ade461
在这里利用bin2hex()函数的目标是便利咱们了解的输入，这是由于混编的了局是二进制格局，为了可以将它转化为易于了解的格局，必需将它转换为十六进制格局。

　　需求注重的是，混编是单向功效，其了局不依附输出，因而可以公然显示这一信息。这一战略凡是用于让用户对照下载文件和体系办理员供应的文件，以确保文件的完全性。

Mhash还有其他一些有效的函数。例如，我需求输入一个Mhash撑持的算法的名字，因为Mhash撑持的一切算法的名字都以MHASH_开首，因而，可以经由过程履行以下的代码完成这一义务：

<?php
= MHASH_TIGER;
print "This data has been hashed with the".mhash_get_hash_name()."hashing algorithm.";
?>

失掉的输入是：

This data has been hashed with the TIGER hashing algorithm.
　　关于PHP和加密最初需求注重的一个成绩
　　关于PHP和加密需求注重的最初的一个主要成绩是在办事器和客户端之间传输的数据在传输过程当中是不平安的！PHP是一种办事器端手艺，不克不及禁止数据在传输过程当中泄密。因而，假如想完成一个完全的平安使用，建议选用Apache-SSL或其他的平安办事器安排。

　　结论
　　这篇文章引见了PHP最有效的功效之一━━数据加密，不但会商了PHP内置的crypt() 和md5()加密函数，还会商了用于数据加密的功效壮大的扩大库━━Mcrypt和Mhash。在这篇文章最初，我需求指出的是，一个真正平安的PHP使用还应当包含平安的办事器，因为PHP是一种办事器真个手艺，因而，在数据由客户端向办事器端停止传输时，它不克不及包管数据的平安。
我的这套线路可能跟许多学习PHP的爱好者不谋而合，这也算是一个循序渐进的学习过程，不过新手不要看到上面的概括就以为学习蛮简单的，默默在此不得不对您稍微泼一下冷水，任何东西其实都不简单。

作者: 冷月葬花魂 时间: 2015-2-4 13:07
爱上php，他也会爱上你。

作者: 再见西城 时间: 2015-2-4 21:43
对于懒惰的朋友，我推荐php的集成环境xampp或者是wamp。这两个软件安装方便，使用简单。但是我还是强烈建议自己动手搭建开发环境。

作者: 愤怒的大鸟 时间: 2015-2-8 11:26
微软最近出的新字体“微软雅黑”，虽然是挺漂亮的，不过firefox 支持的不是很好，所以能少用还是少用的好。

作者: 柔情似水 时间: 2015-2-14 09:28
Ps：以上纯属原创，如有雷同，纯属巧合

作者: 若天明 时间: 2015-2-22 11:07
不禁又想起那些说php是草根语言的人，为什么认得差距这么大呢。

作者: 飘灵儿 时间: 2015-2-27 16:06
本文当是我的笔记啦，遇到的问题随时填充

作者: 小女巫 时间: 2015-3-5 09:38
作为一个合格的coder 编码的规范是必须，命名方面我推崇“驼峰法”，另外就是自己写的代码最好要带注释，不然时间长了，就算是自己的代码估计看起来都费事，更不用说别人拉。

作者: 谁可相欹 时间: 2015-3-10 22:08
至于模板嘛，各位高人一直以来就是争论不休，我一只小菜鸟就不加入战团啦，咱们新手还是多学点东西的好。

作者: 金色的骷髅 时间: 2015-3-17 11:09
没接触过框架的人，也不用害怕，其实框架就是一种命名规范及插件，学会一个框架其余的框架都很好上手的。

作者: 海妖 时间: 2015-3-25 20:28
爱上php，他也会爱上你。

作者: 老尸 时间: 2015-3-31 18:50
要进行开发，搭建环境是首先需要做的事，windows下面我习惯把环境那个安装在C盘下面，因为我配的环境经常出现诡异事件，什么事都没做环境有的时候就不能用啦。

作者: 小妖女 时间: 2015-4-1 19:11
建数据库表的时候，int型要输入长度的，其实是个摆设的输入几位都没影响的，只要大于4就行，囧。

作者: 分手快乐 时间: 2015-4-7 11:51
,熟悉html,能用div+css，还有javascript，优先考虑linux。我在开始学习的时候，就想把这些知识一起学习，我天真的认为同时学习能够互相呼应，因为知识是相通的。

作者: 小魔女 时间: 2015-4-9 09:13
这些中手常用的知识，当你把我说的这些关键字都可以熟练运用的时候，你可以选择自己

作者: 山那边是海 时间: 2015-4-18 01:51
我学习了一段时间后，我发现效果并不好（估计是我自身的问题）。因为一个人的精力总是有限的，同时学习这么多，会导致每个的学习时间都得不到保证。

作者: 活着的死人 时间: 2015-4-21 04:22
如果你已经到这种程度了，那么你已经可以做我的老师了。其实php也分很多的区域，

作者: 再现理想 时间: 2015-4-27 04:44
要进行开发，搭建环境是首先需要做的事，windows下面我习惯把环境那个安装在C盘下面，因为我配的环境经常出现诡异事件，什么事都没做环境有的时候就不能用啦。

作者: 变相怪杰 时间: 2015-5-3 15:15
做为1门年轻的语言，php一直很努力。

作者: 透明 时间: 2015-6-28 22:17
写的比较杂，因为我也是个新手，不当至于大家多多指正。

欢迎光临仓酷云 (http://ckuyun.com/)