论坛程序拿到的用户密码都是明文

论坛程序拿到的用户密码都是明文

所有跟贴·加跟贴·新语丝读书论坛

送交者: xystech 于 2009-04-18, 03:01:36:

回答: 如果他获得的密码是hash过的，如何在这儿试发贴验证密码是否相符？由方舟子于 2009-04-18, 02:47:06:

按aliastwo的解释，他的程序在用户注册的时候（或者第一次登录时）是这样的：

1、从用户处得到用户名和密码（明文）
2、到新语丝论坛验证
3、如果验证成功，把用户的用户名和密码存到自己的数据库

如果验证成功，以后再登录时，就可以跳过上面第2步：

1、从用户处得到用户名和密码（明文）
2、到自己的数据库里拿用户信息，进行比较。

这个问题，简单来说就是xj在数据库里存的是hash过的密码呢，还是明文。从理论上来说除了xj本人，这谁也不可能知道。就算xj自己出来，也不可能解释得清楚了。所以这个问题没什么好争的，只不过是信不信任他罢了。

xj说他数据库里存的是hash过的密码 - 鹏归 (32 bytes) 2009-04-18, 03:05:19 (316056)
- 是的，这是标准做法 - xystech (145 bytes) 2009-04-18, 03:09:11 (316059)
- 密码库存的可能是hash过的，但是一开始拿到的肯定是明文的才能验证 (无内容) - 方舟子 (0 bytes) 2009-04-18, 03:08:17 (316057)
  - 因为登陆手续是程序管理的 - 鹏归 (89 bytes) 2009-04-18, 03:12:59 (316062)
    - 我宁可相信你是没看懂所以再解释一遍 - 008 (583 bytes) 2009-04-18, 03:38:48 (316075)
      - 你不会认为开源的意思是能够看到服务器上面的代码吧 - 过客052 (136 bytes) 2009-04-18, 06:22:05 (316108)
        
        这样比较麻烦无聊的没道德的人才会干啊 (无内容) - nienie (0 bytes) 2009-04-18, 06:31:41 (316111)
        
        你不明白就先问人再替人回答。我已经说了一点也不麻烦了。 - 过客052 (28 bytes) 2009-04-18, 06:50:33 (316116)
        
        我知道你很明白 (无内容) - nienie (0 bytes) 2009-04-18, 07:33:53 (316129)