Discuss / JavaScript / 有大佬解释下把密码转化为md5有啥意义么

有大佬解释下把密码转化为md5有啥意义么

Topic source

老师的代码里面虽然提交了一个hidden的md5_pwd,然而明文的pwd还是提交了,非法者还是能截获pwd明文

而且即便这个明文pwd没有提交,如果其他人截获了这个post报文,他也能获得经md5加密后的pwd密文。你在处理用户登录的时候,提取的是pwd密文,将这个32位的密文和数据库里储存的md5密文对比,若两者相等则登录成功。换句话说,即便非法者得到的是pwd密文而不知道pwd明文,他依旧能构造表单,并把里面hidden一栏的值改为截获的pwd密文,以此登录其他人的账号

廖雪峰

#2 Created at ... [Delete] [Delete and Lock User]

首先,走https,别人截获不了

其次,明文pwd并没有提交,你可以仔细看浏览器的日志

最后,不保存明文,是防止网站管理员看到你的口令

老师威武。

后面看了下,没有name的属性不会提交。我还以为提交密文是为了防第三者,原来是防内鬼

构造密文,是让盗窃者,不会拿到原始字符串,这样就不会去其他网站测试登陆,而且后端不会直接拿前端提交得md5秘闻直接比对,都会有相应得算法的,比如  数据库存储的密码串=md5(前端提交的密码串+数据库存放的盐值)

没错,@灰色天空下得泪水  说的很透彻了,你以为前端md5(pwd) == 后端md5(pwd) 这么简单?,后端也是二次进行加密进行比对的,你先搞明白流程,看懂逻辑,再想想,就不会出现这么幼稚的推理了


  • 1

Reply