上两部分分别介绍了使用XOR运算进行信息加密/解密的原理和实现,下面,将使用这一方法来对用户的登录密码进行加密。本例中,为了保护用户的密码,系统想要达到的目的如下。
(2)根据数据库中存储的密码信息(明文)和用户输入的密码(密钥)信息进行解密,并把加密后的信息与用户提交的用户名进行比较,如果相等,则用户合法,否则,为非法用户。
两种方式都可以实现第3个目的,本例,将采用第2种方式。本例的实现代码可在18.4.1节“用户登录”和18.4.2节“检查用户”的实现基础之上实现,其中“用户登录”页面无需变化,“检查用户”的实现参考如下。
1 <?php
2 session_start(); //装载Session库,一定要放在首行
3 $user_name=$_POST["user_name"];
4 session_register("user_name"); //注册$user_name变量,注意没有$符号
5
6 require_once("sys_conf.inc"); //系统配置文件,包含数据库配置信息
7 require_once("encrypy_xor.php"); //包含xor加密函数文件
8
9 //连接数据库
10 $link_id=mysql_connect($DBHOST,$DBUSER,$DBPWD);
11 mysql_select_db($DBNAME); //选择数据库my_chat
12
13 //查询是否存在登录用户信息
14 $str="select name,password from user where name ='$user_name'";
15 $result=mysql_query($str,$link_id); //执行查询
16 @$rows=mysql_num_rows($result); //取得查询结果的记录笔数
17 $user_name=$_SESSION["user_name"];
18 $password=$_POST["password"];
19 $password_en=myEncrypt($user_name,$password); //加密用户信息
20
21 //对于老用户
22 if($rows!=0)
23 {
24 list($name,$pwd)=mysql_fetch_row($result);
25 $password_de=myDecrypt($pwd,$password); //解密用户信息
26
27 //如果密码输入正确
28 if($user_name==$password_de)
29 {
30 $str="update user set is_online =1 where name ='$user_name' and password='$password_en'";
31 $result=mysql_query($str, $link_id); //执行查询
32 require("main.php"); //转到聊天页面
33 }
34 //密码输入错误
35 else
36 {
37 require("relogin.php");
38 }
39 }
40 //对于新用户,将其信息写入数据库
41 else
42 {
43 $str="insert into user (name,password,is_online) values('$user_name', '$password_en',1)";
44 $result=mysql_query($str, $link_id); //执行查询
45 require("main.php"); //转到聊天页面
46 }
47 //关闭数据库
48 mysql_close($link_id);
49 ?>
第7行引入了加密函数文件encrypy_xor.php,包括上一小节介绍的两个函数。
第19行,使用用户提交的用户名和密码得到加密后的密码值,并且对于新用户,在第44行将这个加密后的值存储在数据库中。
另外,对于老用户,在第24获取数据库中用户名和加密后的密码信息,并在25行利用这两个值进行解密,然后在第28行通过比较解密后的值与用户提交的用户名信息来检查用户的合法性。
自动生成密钥
上一部分介绍了如何使用XOR加密算法进行对用户信息的加密,其中,用户所输入的口令信息实际上成为了加密算法中的密钥,而用户名作为明文使用,虽然这能很好地完成功能,但是在逻辑上,这种方法似乎有些不合理。
本文将介绍一种自动生成密钥的技术,可以使用自动生成的密钥对用户提交的密码明文加密,使逻辑更加合理一些。
本例,假设生成的密钥为512位。代码如下。
1 <!--keygen.php:自动生成密钥------------------------------------>
2 <?php
3
4 //自动生成长度为$len的密钥
5 function generate_key($len)
6 {
7 $lowerbound = 35 ;
8 $upperbound = 96 ;
9 $strMyKey = "";
10
11 for($i=1;$i<=$len;$i++)
12 {
13 $rnd=rand(0,100); //产生随机数
14 $k = (($upperbound - $lowerbound) + 1) * $rnd + $lowerbound;
15 $strMyKey=$strMyKey.$k;
16 }
17 return $strMyKey;
18 }
19
20 //将密钥写入文件$file_name
21 function write_key($key,$file_name)
22 {
23 $filename="C:\key.txt";
24 $key=generate_key($key,512);
25
26 //使用添加模式打开$filename,文件指针将会在文件的末尾
27 if(!$handle=fopen($filename,'w'))
28 {
29 print"不能打开文件$filename";
30 exit;
31 }
32
33 //将$key写入到我们打开的文件中。
34 if(!fwrite($handle,$key))
35 {
36 print"不能写入到文件$filename";
37 exit;
38 }
39 fclose($handle);
40 }
41
42 //读取密钥文件中的密钥
43 function get_key($file_name)
44 {
45 //打开文件
46 $fp = fopen ($file_name, "r");
47 $result="";
48 //逐行读取
49 while (!feof($fp))
50 {
51 $buffer = fgets($fp, 4096);
52 $result=$result.$buffer;
53 }
54 return $result;
55 }
56
57 ///*
58 $KeyLocation = "C:\key.txt"; //保存密钥的文件
59 $key="123456";
60 write_key($key,$KeyLocation);
61 echo get_key($KeyLocation);
62 //*/
63 ?>
代码包括3个函数。
·generate_key($len):自动生成长度为$len的密钥
·write_key($key,$file_name):将密钥写入文件$file_name
·get_key($file_name):读取密钥文件$file_name中的密钥值
在使用时,当用户第一次登录系统时,自动为其生成密钥值,对于这个密钥值,可以有两种方式来处理。
(1)将其存入数据库的某个字段中,这种方法的缺点是密钥在数据库中的安全性无法得到保证;
(2)将这个密钥保存在用户本地的文件中,这样就可以避免密钥被别人获取,但这种方式的缺点是,当用户使用其他机器访问系统时,就无法登录。
本例中,将使用第2种方式。
具体地,上面代码第11~18行通过生成随机数的方式来不断生成密钥,并通过一个计算来增强其复杂性。其中的lowerbound和upperbound的数值其实就是你想使用来加密的ASCII字符范围。下面是生成的一个密钥文件示例。
208123915925183361116049369344372701567721435181102718332639307390344373445407
524316475863232913993383189547474747394154915312639841226741894189965623523913
011164730113445201935692839710274127251577929493941487145611337531549110895367
593586318332391170941272701152344371709270125776235313540032267139933835677407
617384135696111239130732949469623520815987524358635491542913374933524334454251
400327015367133759324537171709152357391089524342514685239122673135531363151191
833412771743139654…
最后,需要把密钥保存在服务器上一个安全的地方,然后就可以利用其和诸如XOR这样的加密算法来对用户信息进行加密/解密了。如何在上一部分介绍的XOR中使用这个密钥非常简单,不再详述。
