分享
 
 
 

PHP数据加密

王朝php·作者佚名  2008-05-21
窄屏简体版  字體: |||超大  

数据加密在我们生活中的地位已经越来越重要了,尤其是考虑到在网络上发生的大量交易和传输的大量数据。如果对于采用安全措施有兴趣的话,也一定会有兴趣了解 PHP 提供的一系列安全功能。在本篇文章中,我们将介绍这些功能,提供一些基本的用法,以便你能够为自己的应用软件中增加安全功能。

预备知识

在详细介绍 PHP 的安全功能之前,我们需要花点时间来向没有接触过这方面内容的读者介绍一些有关密码学的基本知识,如果对密码学的基本概念已经非常熟悉,就可以跳过去这一部分。

密码学可以通俗地被描述为对加/解密的研究和实验,加密是将易懂的资料转换为不易懂资料的过程,解密则是将不易懂的资料转换为原来易懂资料的过程。不易懂的资料被称作密码,易懂的资料被称作明码。

数据的加/解密都需要一定的算法,这些算法可以非常地简单,如著名的凯撒码,但当前的加密算法要相对复杂得多,其中一些利用现有的方法甚至是无法破译的 。

PHP的加密功能

只要有一点使用非 Windows 平台经验的人可能对 crypt() 也相当熟悉,这一函数完成被称作单向加密 的功能,它可以加密一些明码,但不能够将密码转换为原来的明码。尽管从表面上来看这似乎是一个没有什么用处的功能,但它的确被广泛用 来保证系统密码的完整性。因为,单向加密的口令一旦落入第三方人的手里,由于不能被还原为明文,因此也没有什么大用处。在验证用户输 入的口令时,用户的输入采用的也是单向算法,如果输入与存储的经加密后的口令相匹配,则输入的口信一定是正确的。

PHP 同样提供了使用其 crypt() 函数完成单向加密功能的可能性。我将在这里简要地介绍该函数:

string crypt (string input_string [, string salt])

其中的 input_string 参数是需要加密的字符串,第二个可选的 salt 是一个位字串,它能够影响加密的暗码,进一步地排除被称作预计算攻击的可能性。缺省情况下,PHP 使用一个2个字符的 DES 干扰串,如果你的系统使用的是 MD5(我将在 以后介绍 MD5 算法),它会使用一个12个字符的干扰串。顺便说一下,可以通过执行下面的命令发现系统将要使用的干扰串的长度:

print "My system salt size is: ". CRYPT_SALT_LENGTH;

系统也可能支持其他的加密算法。crypt() 支持四种算法,下面是它支持的算法和相应的 salt 参数的长度:

算法 Salt 长度

CRYPT_STD_DES 2-character (Default)

CRYPT_EXT_DES 9-character

CRYPT_MD5 12-character beginning with $1$

CRYPT_BLOWFISH 16-character beginning with $2$

用 crypt() 实现用户身份验证

作为 crypt() 函数的一个例子,考虑这样一种情况,你希望创建一段 PHP 脚本程序限制对一个目录的访问,只允许能够提供正确的用户名和口令的用户访问这一目录。我将把资料存储在我喜欢的数据库 MySQL 的一个表中。下面我们以创建这个被称作 members 的表开始我们的例子:

mysql>CREATE TABLE members (->username CHAR(14) NOT NULL,->password CHAR(32) NOT NULL,->PRIMARY KEY(username)->);

然后,我们假定下面的数据已经存储在该表中:

用户名 密码

clark keloD1C377lKEbruce ba1T7vnz9AWgkpeter paLUvRWsRLZ4U

这些加密的口令对应的明码分别是 kent、banner 和 parker。注意一下每个口令的前二个字母, 这是因为我使用了下面的代码,根据口令的前二个字母创建干扰串的:

$enteredPassword.$salt = substr($enteredPassword, 0, 2);$userPswd = crypt($enteredPassword, $salt);// $userPswd然后就和用户名一起存储在MySQL 中

我将使用 Apache 的口令-应答认证配置提示用户输入用户名和口令,一个鲜为人知的有关 PHP 的信息是,它可以把 Apache的口令-应答系统输入的用户名和口令识别为 $PHP_AUTH_USER 和 $PHP_AUTH_PW,我将在身份验证脚本中用到这二个变量。花一些时间仔细阅读下面的脚本,多注意一下其中的解释,以便更好地理解下面的代码:

crypt() 和 Apache 的口令-应答验证系统的应用

<?php$host = "localhost";$user = "zorro";$pswd = "hell odolly";$db = "users";// Set authorization to False$authorization = 0;// Verify that user has entered username and passwordif (isset($PHP_AUTH_USER) && isset($PHP_AUTH_PW)) :mysql_pconnect($host, $user, $pswd) or die("Can't connect to MySQLserver!");mysql_select_db($db) or die("Can't select database!");// Perform the encryption$salt = substr($PHP_AUTH_PW, 0, 2);$encrypted_pswd = crypt($PHP_AUTH_PW, $salt);// Build the query$query = "SELECT username FROM members WHEREusername = '$PHP_AUTH_USER' ANDpassword = '$encrypted_pswd'";// Execute the queryif (mysql_numrows(mysql_query($query)) == 1) :$authorization = 1;endif;endif;// confirm authorizationif (! $authorization) :header('WWW-Authenticate: Basic realm="Private"');header('HTTP/1.0 401 Unauthorized');print "You are unauthorized to enter this area.";exit;else :print "This is the secret data!";endif;?>

上面就是一个核实用户访问权限的简单身份验证系统。在使用 crypt() 保护重要的机密资料时,记住在缺省状态下使用的 crypt() 并不是最安全的,只能用在对安全性要求较低的系统中,如果需要较高的安全性能,就需要我在本篇文章的后面介绍的算法。

下面我将介绍另一个PHP支持的函数━━ md5() ,这一函数使用 MD5 散列算法,它有几种很有趣的用法值得一提:

混编

一个混编函数可以将一个可变长度的信息变换为具有固定长度被混编过的输出,也被称作“信息文摘”。这是十分有用的,因为一个固定长度的字符串可以用来检查文件的完整性和验证数字签名以及用户身份验证。由于它适合于 PHP,PHP 内置的 md5() 混编函数将把一个可 变长度的信息转换为128位(32个字符)的信息文摘。混编的一个有趣的特点是不能通过分析混编后的信息得到原来的明码,因为混编后的结果与原来的明码内容没有依赖关系。即便只改变一个字符串中的一个字符,也将使得MD5混编算法计算出二个截然不同的结果。我们首先来看下表的内容及其相应的结果:

使用md5()混编字符串

<?php$msg = "This is some message that I just wrote";$enc_msg = md5($msg);print "hash: $enc_msg ";?>

结果:

hash: 81ea092649ca32b5ba375e81d8f4972c

注意,结果的长度为32个字符。再来看一下下面的表,其中的$msg的值有了一点 微小的变化:

使用md5()对一个稍微变化的字符串进行混编

<?php//注意,message中少了一个s$msg = "This is some mesage that I just wrote";$enc_msg = md5($msg);print "hash2: $enc_msg <br /><br />";?>

结果:

hash2: e86cf511bd5490d46d5cd61738c82c0c

可以发现,尽管二个结果的长度都是32个字符,但明文中一点微小的变化使得结果发生了很大的变化,因此,混编和 md5() 函数是检查数据中微小变化的一个很好的工具。

尽管 crypt() 和 md5() 各有用处,但二者在功能上都受到一定的限制。在下面的部分中,我们将介绍二个非常有用的被称作 Mcrypt 和 Mhash 的 PHP 扩展,将大大拓展 PHP 用户在加密方面的选择。

尽管我们在上面的小节中说明了单向加密的重要性,但有时我们可能需要在加密后,再把密码数据还原成原来的数据,幸运的是,PHP 通过 Mcrypt 扩展库的形式提供了这种可能性。

McryptMcrypt 2.5.7 Unix | Win32Mcrypt 2.4.7是一个功能强大的加密算法扩展库,它包括有22种算法 ,其中就包括下面的几种算法:Blowfish RC2 Safer-sk64 xteaCast-256 RC4 Safer-sk128DES RC4-iv SerpentEnigma Rijndael-128 ThreewayGost Rijndael-192 TripleDESLOKI97 Rijndael-256 TwofishPanamaSaferplus Wake

安装:

在标准的PHP软件包中不包括Mcrypt,因此需要下载它,下载的地址为:ftp://argeas.cs-net.gr/pub/unix/mcrypt/ 。下载后,按照下面的方法进行编译,并把它扩充在 PHP 中:

下载Mcrypt软件包。

gunzipmcrypt-x.x.x.tar.gztar -xvfmcrypt-x.x.x.tar./configure --disable-posix-threadsmakemake installcd to your PHP directory../configure -with-mcrypt=[dir] [--other-configuration-directives]makemake install

当然了,根据你的 要求和 PHP 安装时与互联网服务器软件的关系,上面的过程可能需要作适当的修改。

使用Mcrypt

Mcrypt 的优点不仅仅在于其提供的加密算法较多,还在于它可以对数据进行加/解密处理,此外,它还提供了35种处理数据用的函数。尽管对这些函数进行详细介绍已经超出了这篇文章的范围,我还是要就几个典型的函数作一下简要的介绍。

首先,我将介绍如何使用 Mcrypt 扩展库对数据进行加密,然后再介绍如何使用它进行解密。下面的代码对这一过程进行了演示,首先是对数据进行加密,然后在浏览器上显示加密后的数据,并将加密后的数据还原为原来的字符串,将它显示在浏览器上。

使用Mcrypt对数据进行加、解密

<?php// Designate string to be encrypted$string = "Applied Cryptography, by Bruce Schneier, isa wonderful cryptography reference.";// Encryption/decryption key$key = "Four score and twenty years ago";// Encryption Algorithm$cipher_alg = MCRYPT_RIJNDAEL_128;// Create the initialization vector for added security.$iv = mcrypt_create_iv(mcrypt_get_iv_size($cipher_alg,MCRYPT_MODE_ECB), MCRYPT_RAND);// Output original stringprint "Original string: $string <p>";// Encrypt $string$encrypted_string = mcrypt_encrypt($cipher_alg, $key,$string, MCRYPT_MODE_CBC, $iv);// Convert to hexadecimal and output to browserprint "Encrypted string: ".bin2hex($encrypted_string)."<p>";$decrypted_string = mcrypt_decrypt($cipher_alg, $key,$encrypted_string, MCRYPT_MODE_CBC, $iv);print "Decrypted string: $decrypted_string";?>

执行上面的脚本将会产生下面的输出:

Original string: Applied Cryptography, by Bruce Schneier, is a wonderful cryptography reference.Encrypted string: 02a7c58b1ebd22a9523468694b091e60411cc4dea8652bb8072 34fa06bbfb20e71ecf525f29df58e28f3d9bf541f7ebcecf62b c89fde4d8e7ba1e6cc9ea24850478c11742f5cfa1d23fe22fe8 bfbab5eDecrypted string: Applied Cryptography, by Bruce Schneier, is a wonderful cryptography reference.

上面的代码中二个最典型的函数是 mcrypt_encrypt() 和 mcrypt_decrypt(),它们的用途是显而易见的。我使用了“电报密码本”模式,Mcrypt 提供了几种加密方式,由于每种加密方式都有可以影响密码安全的特定字符,因此每种模式都需要了解。对于没有接触过密码系统的读者来说,可能对 mcrypt_create_iv() 函数更有兴趣,尽管对这 一函数进行彻底的解释已经超出了本篇文章的范围,但我仍然会提到它创建的初始化向量(hence, iv),这一向量可以使每条信息彼此独立。尽管不是所有的模式都需要这一初始化变量,但如果在要求的模式中没有提供这一变量,PHP 就会给出警告信息。

Mhash扩展库

http://sourceforge.net/projects/mhash/

0.8.3 版的 Mhash 扩展库支持12种混编算法,仔细检查 Mhash v.0.8.3 的头文件 mhash.h 可以知道,它支持下面的混编算法:

CRC32 HAVAL160 MD5CRC32B HAVAL192 RIPEMD160GOST HAVAL224 SHA1HAVAL128 HAVAL256 TIGER

安装

象 Mcrypt 一样,Mhash 也没有包括在 PHP 软件包中,对于非 Windows 用户而言,下面是安装过程:

下载Mhash扩展库

gunzipmhash-x.x.x.tar.gztar -xvfmhash-x.x.x.tar./configuremakemake installcd <PHP所在的目录 >./configure -with-mhash=[dir] [--other-configuration-directives]makemake install

象 Mcrypt 一样 ,根据 PHP 在互联网服务器软件上的安装方式,可能需要对 Mhash 进行其他的配置。

对于 Windows 用户而言, http://www.php4win.de 中有一个很好的包括 Mhash 扩展库在内的 PHP 软件包。只要下载并进行解压缩,然后根据其中的 readme.first 文档中的指令进行安装即可。

使用Mhash

对信息进行混编非常简单,看一下下面的例子:

<?php$hash_alg = MHASH_TIGER;$message = "These are the directions to the secret fort. Two steps left, three steps right, and cha chacha.";$hashed_message = mhash($hash_alg, $message);print "The hashed message is ". bin2hex($hashed_message);?>

执行这一段脚本程序将得到下面的输出结果:

The hashed message is 07a92a4db3a4177f19ec9034ae5400eb60d1a9fbb4ade461

在这里使用 bin2hex() 函数的目的是方便我们理解 $hashed_message 的输出,这是因为混编的结果是二进制格式,为了能够将它转化为易于理解的格式,必须将它转换为十六进制格式。

需要注意的是,混编是单向功能,其结果不依赖输入,因此可以公开显示这一信息。这一策略通常用于让用户比较下载文件和系统管理员提供的文件,以确保文件的完整性。

Mhash 还有其他一些有用的函数。例如,我需要输出一个 Mhash 支持的算法的名字,由于 Mhash 支持的所有算法的名字都以 MHASH_ 开头,因此,可以通过执行如下的代码完成这一任务:

<?php$hash_alg = MHASH_TIGER;print "This data has been hashed with the".mhash_get_hash_name($hashed_message)."hashing algorithm.";?>

得到的输出是:

This data has been hashed with the TIGER hashing algorithm.

关于 PHP 和加密最后需要注意的一个问题

关于 PHP 和加密需要注意的最后的一个重要问题是在服务器和客户端之间传输的数据在传输过程中是不安全的!PHP 是一种服务器端技术,不能阻止数据在传输过程中泄密。因此,如果想实现一个完整的安全应用,建议选用 Apache-SSL 或其他的安全服务器布置。

结论

这篇文章介绍了 PHP 最有用的功能之一━━数据加密,不仅讨论了 PHP 内置 的 crypt() 和 md5() 加密函数,还讨论了用于数据加密的功能强大的扩展库━━ Mcrypt 和 Mhash 。在这篇文章最后,我需要指出的是,一个真正安全的 PHP 应用还应该包括安全的服务器,由于 PHP 是一种服务器端的技术,因此,在数据由客户端向服务器端进行传输时,它不能保证数据的安全。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有