Discuss
/
JavaScript
/
有大佬解释下把密码转化为md5有啥意义么
有大佬解释下把密码转化为md5有啥意义么
Topic source
构造密文,是让盗窃者,不会拿到原始字符串,这样就不会去其他网站测试登陆,而且后端不会直接拿前端提交得md5秘闻直接比对,都会有相应得算法的,比如 数据库存储的密码串=md5(前端提交的密码串+数据库存放的盐值)
没错,@灰色天空下得泪水 说的很透彻了,你以为前端md5(pwd) == 后端md5(pwd) 这么简单?,后端也是二次进行加密进行比对的,你先搞明白流程,看懂逻辑,再想想,就不会出现这么幼稚的推理了
- 1
舞雨口口窘
老师的代码里面虽然提交了一个hidden的md5_pwd,然而明文的pwd还是提交了,非法者还是能截获pwd明文
而且即便这个明文pwd没有提交,如果其他人截获了这个post报文,他也能获得经md5加密后的pwd密文。你在处理用户登录的时候,提取的是pwd密文,将这个32位的密文和数据库里储存的md5密文对比,若两者相等则登录成功。换句话说,即便非法者得到的是pwd密文而不知道pwd明文,他依旧能构造表单,并把里面hidden一栏的值改为截获的pwd密文,以此登录其他人的账号