如何通過確認電子郵件 (PHP) 發送密碼
[英]How to send password with confirmation email (PHP)
問題描述
首先,我意識到這是一種非常糟糕的做法- 但是,我見過這樣做的網站,我想知道。
無論如何,是否可以將密碼與注冊詳細信息一起發送,並且仍然將密碼存儲為哈希?
因此,基本上,在注冊時,用戶會收到一封確認電子郵件以及他們的用戶名和密碼,以供參考。 當網站這樣做時,他們將密碼存儲為散列還是明文?
密碼以明文形式存儲在電子郵件中 - 但是,它是簡單地以明文形式存儲在服務器中,還是在發送電子郵件后散列?
這似乎是一個奇怪的問題,但由於我看到很多網站都這樣做,我想知道 - 我最初的假設是錯誤的嗎? 那么,這種做法實際上是不好的,還是安全的? (我看不出有這么多網站會這樣做的其他原因)
2 個解決方案
解決方案1
3 已采納 2016-10-06 13:56:22
“@Fred-ii- 你能復制/粘貼那個評論作為答案嗎?我 - Zack105”
按照要求:
“但是,它是簡單地以明文形式存儲在服務器中,還是在發送電子郵件后進行散列?”
我們不知道每項服務的使用方式以及它們的實際用途。 有些可能將密碼存儲為純文本,有些可能會散列。 有些人可能會使用鎖和鑰匙將純文本密碼存儲在不同的位置,有些人可能會這樣做並散列; 它可以是任何東西。
如果您要啟動自己的服務或用於用戶注冊站點,請將密碼存儲為散列而不是純文本。 你問的場景太多了。 我希望我們已經為您提供了足夠的入門知識。
如果您不知道這一點,另一件事是准備好的語句,如果您想要獲取用戶輸入並且將有助於防止可能的 SQL 注入,則應該使用它們。
參考:
- https://en.wikipedia.org/wiki/Prepared_statement
- https://en.wikipedia.org/wiki/SQL_injection
- http://php.net/manual/en/book.password.php
來自deceze的評論,來自(現已刪除)答案:
我引用:
“最佳做法是讓用戶選擇自己的密碼,並且永遠不要以明文形式存儲或發送它。密碼是一個秘密,必須只存在於用戶的頭腦中(或安全密碼管理器)。安全性用戶的賬戶取決於密碼的保密性。密碼明文暴露的越多,賬戶的安全性就越低。” – deceze
解決方案2
1 2016-10-06 13:23:41
別。 就這么簡單。 這樣做的網站是出於懶惰。 他們不希望支持電話要求密碼,或者技術文盲強迫 IT 這樣做。 密碼應永遠不會結束在明文線發送。 人們很愚蠢,會重復使用密碼等等。如果您非常擔心人們已經忘記了他們的密碼,請在該電子郵件中向他們發送一個指向您的密碼重置頁面的鏈接。
我將如何創建一種圍繞密碼確認和電子郵件確認的方法?
[英]How would I create a way around password confirmation and email confirmation?
PHP-將電子郵件添加到數據庫中,發送確認電子郵件並重定向
[英]PHP - add email into database , send confirmation email and redirect
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.