如果您正在運行使用MySQL的Web應用程式,那麼它把密碼或者其他敏感資訊保存在應用程式裡的機會就很大。保護這些資料免受駭客或者窺探者的獲取是一個令人關注的重要問題,因為您既不能讓未經授權的人員使用或者破壞應用程式,同時還要保證您的競爭優勢。幸運的是,MySQL帶有很多設計用來提供這種類型安全的加密函數。本文概述了其中的一些函數,並說明了如何使用它們,以及它們能夠提供的不同級別的安全。

 

雙向加密

 

就讓我們從最簡單的加密開始:雙向加密。在這裡,一段資料通過一個金鑰被加密,只能夠由知道這個金鑰的人來解密。MySQL有兩個函數來支援這種類型的加密,分別叫做ENCODE()和DECODE()。下麵是一個簡單的實例:


 

mysql> INSERT INTO users (username, password) VALUES ('joe', ENCODE('guessme', 'abracadabra'));
Query OK, 1 row affected (0.14 sec)

 

其中,Joe的密碼是guessme,它通過金鑰abracadabra被加密。要注意的是,加密完的結果是一個二進位字元串,如下所示:


 

mysql> SELECT * FROM users WHERE username='joe';
+----------+----------+
| username | password |
+----------+----------+
| joe | ¡?i??!? |
+----------+----------+
1 row in set (0.02 sec)

 

abracadabra這個金鑰對於恢復到原始的字串至關重要。這個金鑰必須被傳遞給DECODE()函數,以獲得原始的、未加密的密碼。下麵就是它的使用方法:


 

mysql> SELECT DECODE(password, 'abracadabra') FROM users WHERE username='joe';
+---------------------------------+
| DECODE(password, 'abracadabra') |
+---------------------------------+
| guessme |
+---------------------------------+
1 row in set (0.00 sec)

 

應該很容易就看到它在Web應用程式裡是如何運行的——在驗證使用者登錄的時候,DECODE()會用網站專用的金鑰解開保存在資料庫裡的密碼,並和使用者輸入的內容進行對比。假設您把PHP用作自己的指令碼語言,那麼可以像下麵這樣進行查詢:


 

<?php
$query = "SELECT COUNT(*) FROM users WHERE username='$inputUser'
AND DECODE(password, 'abracadabra') = '$inputPass'";?>

 

提示:雖然ENCODE()和DECODE()這兩個函數能夠滿足大多數的要求,但是有的時候您希望使用強度更高的加密手段。在這種情況下,您可以使用AES_ENCRYPT()和AES_DECRYPT()函數,它們的工作方式是相同的,但是加密強度更高。

 

單向加密

 

單向加密與雙向加密不同,一旦資料被加密就沒有辦法顛倒這一過程。因此密碼的驗證封裝括對使用者輸入內容的重新加密,並將它與保存的密文進行比對,看是否匹配。一種簡單的單向加密方式是MD5校驗碼。MySQL的MD5()函數會為您的資料創建一個“指紋”並將它保存起來,供驗證測試使用。下麵就是如何使用它的一個簡單例子:


 

mysql> INSERT INTO users (username, password) VALUES ('joe', MD5('guessme'));
Query OK, 1 row affected (0.00 sec)
mysql> SELECT * FROM users WHERE username='joe';
+----------+----------------------------------+
| username | password |
+----------+----------------------------------+
| joe | 81a58e89df1f34c5487568e17327a219 |
+----------+----------------------------------+
1 row in set (0.02 sec)

 

現在您可以測試使用者輸入的內容是否與已經保存的密碼匹配,方法是取得使用者輸入密碼的MD5校驗碼,並將它與已經保存的密碼進行比對,就像下麵這樣:


 

mysql> SELECT COUNT(*) FROM users WHERE username='joe' AND password=MD5('guessme');
+----------+
| COUNT(*) |
+----------+
| 1 |
+----------+
1 row in set (0.00 sec)

 

或者,您考慮一下使用ENCRYPT()函數,它使用系統底層的crypt()系統調用來完成加密。這個函數有兩個參數:一個是要被加密的字串,另一個是雙(或者多)字元的“salt”。它然後會用salt加密字串;這個salt然後可以被用來再次加密使用者輸入的內容,並將它與先前加密的字串進行比對。下麵一個例子說明了如何使用它:


 

mysql> INSERT INTO users (username, password) VALUES ('joe', ENCRYPT('guessme', 'ab'));
Query OK, 1 row affected (0.00 sec)
mysql> SELECT * FROM users WHERE username='joe';
+----------+---------------+
| username | password |
+----------+---------------+
| joe | ab/G8gtZdMwak |
+----------+---------------+
1 row in set (0.00 sec)

 

結果是


 

mysql> SELECT COUNT(*) FROM users WHERE username='joe' AND password=ENCRYPT('guessme', 'ab');
+----------+
| COUNT(*) |
+----------+
| 1 |
+----------+
1 row in set (0.00 sec)

 

提示:ENCRYPT()只能用在*NIX系統上,因為它需要用到底層的crypt()庫。

 

幸運的是,上面的例子說明了能夠如何利用MySQL對您的資料進行單向和雙向的加密,並告訴了您一些關於如何保護資料庫和其他敏感性資料庫資訊安全的理念。
arrow
arrow
    全站熱搜

    戮克 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄