gpt4 book ai didi

php - 公开其他用户的 SESSID 的 md5 哈希值是否安全?

转载 作者:行者123 更新时间:2023-12-04 04:45:59 25 4
gpt4 key购买 nike

我有一个在 php WebSocket 服务器上运行的聊天应用程序。

当客户端连接时,我向他发送一个带有其他用户 ID 和昵称的对象。我需要发送这些 id,以便当用户说某事或断开连接等时,其他用户可以知道谁说了这话或断开连接等。

服务器端我使用 SESSID 因为我使用 $_SESSION数据,但当然我不能公开 SESSID 的列表。

那么,我可以使用md5($userId)吗? (其中 $userId 是 SESSID),或者是否可以从其 md5 哈希中劫持 session ?

最佳答案

哈希不是安全的最佳选择,在大多数情况下我不推荐它。

但是在这种情况下有一个区别:

所有 SSID 都是无稽之谈(我的意思是它们是随机的)所以如果您添加所需的盐来制作您的

salt.length + $userId.length

超过 32 个字符(为了安全起见,使其超过 128 个字符),它是 逻辑上不可能解密哈希。解密它就像从它的散列重新制作一个文件!
这是不可能的

为了让事情更容易,这里是你需要的代码:
function YourNewHashMaker($str)
{
return sha1(md5("Some Random Salt".$str).$str."Another Random Salt!".sha1("This one is too much".$str));
}

像这样使用它:
YourNewHashMaker($userId);

这里唯一的安全漏洞,就是有人窃取你的代码,并开始制作彩虹表,这是一个 的可能性。真的很难做 .以及所有其他哈希的相同安全漏洞。

编辑 :请记住,无论您有什么想法必须制作自己的哈希生成器,请记住 输出字符串必须由批准的算法生成。 换句话说, 不要在 'sha1(....)' 之前或之后添加任何内容,就在函数内部。

希望它有帮助。

关于php - 公开其他用户的 SESSID 的 md5 哈希值是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18175906/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com