存储密码的正确代码程序在MYSQL中确保密码安全

salt = For each user generate a random seed with a random length. 

iterations = Select a random number

while(iterations  != 0)  {

hashed_password = hash_function(password.salt) . salt;    iterations-- }

hashed_password:salt:hash_function:iterations.

在登录时，请使用新密码与盐、哈希函数和迭代结合使用进行哈希处理，并将结果与哈希后的密码进行比较。

当然，您可以使用多个哈希函数，例如 sha_x(md5(salt.password).salt).salt 或其他任何哈希函数，但一定要以某种方式保存它，以便在登录时进行比较。

这个库非常好：http://www.openwall.com/phpass/ 它使用各种算法的加密方法，还有自己基于md5但具有许多迭代和盐的“安全”算法。

在哈希密码时，您应该真正使用 bcrypt，它是专门为哈希密码而设计的。

用于密码的哈希函数应该慢（需要一些计算时间）。大多数哈希算法如 SHA-1、MD5 或甚至 SHA-256 都被设计成快速的，但这使其成为暴力攻击的易目标。

不要害怕使用 bcrypt！它不仅适用于高安全性网站，而且使用它可以像使用 md5 哈希一样简单。建议使用一个经过良好验证的库，如 phpass，如果您想了解它的工作原理，可以阅读这篇 文章，我在其中试图解释最重要的几点。

SHA1在2005年被破解

2005年2月15日

SHA-1被破解

SHA-1已经被破解。不是简化版，也不是减少轮数的版本。是真正的SHA-1。

来自中国山东大学的王小云、尹丽sa和于洪波（主要成员）的研究小组一直在悄悄地传播一篇论文，描述了他们的结果：在2*69个哈希操作中找到了完整的SHA-1碰撞，比基于哈希长度的2*80次暴力攻击少得多。

在2**39个操作中找到了SHA-0的碰撞。

在2**33个操作中找到了58轮SHA-1的碰撞。

看看这个比较列表。