Discuss / JavaScript / 有大佬解释下把密码转化为md5有啥意义么

有大佬解释下把密码转化为md5有啥意义么

Topic source

老师的代码里面虽然提交了一个hidden的md5_pwd,然而明文的pwd还是提交了,非法者还是能截获pwd明文

而且即便这个明文pwd没有提交,如果其他人截获了这个post报文,他也能获得经md5加密后的pwd密文。你在处理用户登录的时候,提取的是pwd密文,将这个32位的密文和数据库里储存的md5密文对比,若两者相等则登录成功。换句话说,即便非法者得到的是pwd密文而不知道pwd明文,他依旧能构造表单,并把里面hidden一栏的值改为截获的pwd密文,以此登录其他人的账号

廖雪峰

#2 Created at ... [Delete] [Delete and Lock User]

首先,走https,别人截获不了

其次,明文pwd并没有提交,你可以仔细看浏览器的日志

最后,不保存明文,是防止网站管理员看到你的口令

老师威武。

后面看了下,没有name的属性不会提交。我还以为提交密文是为了防第三者,原来是防内鬼

构造密文,是让盗窃者,不会拿到原始字符串,这样就不会去其他网站测试登陆,而且后端不会直接拿前端提交得md5秘闻直接比对,都会有相应得算法的,比如  数据库存储的密码串=md5(前端提交的密码串+数据库存放的盐值)


  • 1

Reply