SQL反模式学习笔记20 明文密码

2014-10-17 10:50:26

目标:恢复或重置密码

反模式:使用明文存储密码

  1、存储密码

    使用明文存储密码或者在网络上传递密码是不安全的。

如果攻击者截取到你用来插入(或者修改)密码的sql语句,就可以获得密码。

       黑客获取密码的方式有很多种:

    (1)在客户端和服务器端数据库交互的网络线路上接货数据包。比如使用Wireshark黑客软件。

    (2)在数据库服务器上搜索SQL的查询日志。

    (3)从服务器或者备份介质上读取数据库备份文件内的数据。

  2、验证密码:同上。

  3、在Email中发送密码:Email的收发都需要经由网络层传输,数据可能会在其他的路由节点上被黑客劫持。

如何识别反模式:当出现以下情况时,可能是反模式合理使用反模式:

  1、能够恢复你的密码;

  2、将密码通过邮件以明文或可逆转的加密的格式发给你的程序。

合理使用反模式

  1、你的程序可能需要使用密码来访问一个地第三方的服务,这意味着你的程序可能是一个客户端,

必须使用可读的格式来存储这个密码。最好的做法是使用一些程序能够解码的加密方法来存储,

    而不是直接使用明文的方式存储在数据库中。

  2、并不是所有的程序都有被攻击的风险,也不是所有的程序都有敏感的程序需保护的信息。

    内文通讯的程序,只使用认证机制就可以了。

解决方案

  1、先加密再存储

(1)哈希是指将输入字符串转换成为另一个新的、不可识别的字符串的函数。

哈希算法是不可逆的。

   (2)在SQL中使用哈希

      哈希函数并是标准的SQL语言,因此你可能要依赖于所使用的数据库提供的哈希扩展。

insert into Accounts(AccountId,AccountName,password)

values(123,‘billKarwin‘,SHA2(‘xyzzy‘));---MySQL6.0.5的扩展函数

(3)给哈希加料

       使用哈希值替换原来的明文密码,但是黑客仍然能够破解你的哈希值。通过他们预先准备好的自己的数据库,

里面存储的可能的密码与对应的哈希值,然后比较久可以找出明文密码。

      预防这种“字典攻击”的一种方法是给你的密码加密表达式加点佐料。具体方法是在将用户密码传入哈希函数进行

加密之前,将其和一个无意义的字符串拼接在一起。

SHA2(‘password‘) = ‘5exxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxd8‘;

SHA2(‘password-0xT!sp9‘) = ‘72xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx5b‘;

佐料的合理长度应该是8个字节。

    (4)在SQL中隐藏密码

只要不将明文密码放到SQL查询语句中,就能避免泄露。

具体做法:在程序代码中生成密码的哈希字符串,然后在SQL查询中使用哈希串。

    (5)在网络传输中,还有一个地方是攻击者有机会接货网络数据包的:在用户的浏览器和网站服务器之间。

当用户提交了一个登录表单时,浏览器将用户的密码以明文方式发送到服务器端,随后服务器端才能

使用这个密码进行哈希运算。

解决方法:在用户的浏览器发送表单数据之前就进行哈希运算。

但是这个方案也有一些不足的地方,就是你需要再进行正确的哈希运算之前,还要通过别的途径来获得和

这个密码相关联的佐料。这种方案是在从浏览器向服务器端提交表单密码时,使用安全的HTTP(https)链接。

  2、重置密码而不是恢复密码

时间: 2024-11-13 11:46:01

SQL反模式学习笔记20 明文密码的相关文章

SQL反模式学习笔记11 限定列的有效值

2014-10-14 08:46:07 目标:限定列的有效值,将一列的有效字段值约束在一个固定的集合中.类似于数据字典. 反模式:在列定义上指定可选值 1. 对某一列定义一个检查约束项,这个约束不允许往列中插入或者更新任何会导致约束失败的值:            create table Bugs(status varchar(20) check(status in('new','in progress','fixed'))). 2.使用域或者用户自定义类型(UDT)等方法.        

SQL反模式学习笔记6 支持可变属性【实体-属性-值】

2014-10-11 17:21:31 目标:支持可变属性 反模式:使用泛型属性表.这种设计成为实体-属性-值(EAV),也可叫做开放架构.名-值对. 优点:通过增加一张额外的表,可以有以下好处 (1)表中的列很少: (2)新增属性时,不需要新增列.不会影响现有表的结构: (3)存储的字段内容不会为空值. 缺点:(1)查询语句变得更加复杂: (2)使用EAV设计后,需要放弃传统的数据库设计所带来的方便之处,比如:无法保障数据完整性: (3)无法使用SQL的数据类型,比如对日期.金钱等格式内容都只

SQL反模式学习笔记3 单纯的树

2014-10-11 08:59:48 在树形结构中,实例被称为节点.每个节点都有多个子节点与一个父节点. 最上层的节点叫做根(root)节点,它没有父节点. 最底层的没有子节点的节点叫做叶(leaf). 中间的节点简单地称为非叶节点(nonleaf). 目标:分成存储于查询,比如:系统字典.组织机构.省份区域等树形结构数据或者以层级方式组织的数据. 反模式:总是依赖父节点,邻接表. 最简单的实现方式是添加ParentId字段,引用同一张表的主键ID. 邻接表维护树比较方便,但是查询很笨拙,如果

SQL反模式学习笔记1 开篇

什么是“反模式” 反模式是一种试图解决问题的方法,但通常会同时引发别的问题. 反模式分类 (1)逻辑数据库设计反模式 在开始编码之前,需要决定数据库中存储什么信息以及最佳的数据组织方式和内在关联方式. 这包含了如何设计数据库的表.字段和关系. (2)物理数据库设计反模式 在确定了需要存储哪些数据之后,使用你所知的RDBMS关系型数据库技术特性尽可能高效地实现数据库管理. 这包含了定义表和索引,以及选择数据类型.也需要是要SQL的“数据定义语言”,比如Create Table语句. (3)查询反模

SQL反模式学习笔记16 使用随机数排序

2014-10-15 10:06:48 目标:随机排序,使用高效的SQL语句查询获取随机数据样本. 反模式:使用RAND()随机函数 SELECT * FROM Employees AS e ORDER BY RAND() Limit 1 缺点:无法利用索引,每次选择的时候都不同且不可预测.进行全表遍历,性能极差. 如何识别反模式:当出现以下情况时,可能是反模式 1.在SQL中,返回一个随机行速度非常慢: 2.要获取所有的记录然后随机一个.要如何增加程序可使用的内存大小? 3.有些列出现的频率比

SQL反模式学习笔记13 使用索引

2014-10-14 10:29:53 目标:优化性能 改善性能最好的技术就是在数据库中合理地使用索引.  索引也是数据结构,它能使数据库将指定列中的某个值快速定位在相应的行. 反模式:无规划的使用索引 1.不使用索引或索引不足 2.使用了太多的索引或一些无效的索引 (1)大多数数据库会自动地位主键建立索引,因此额外再定义一个索引就是冗余. 这个额外的索引并无任何好处,它只会成为额外的开销. (2)字符串索引很大,而且也不太可能对它进行全匹配查找. (3)使用组合索引是一个很好的选择,但是大部分

SQL反模式学习笔记22 伪键洁癖,整理数据

2014-10-17 16:31:50 目标:整理数据,使不连续的主键Id数据记录变的连续. 反模式:填充断档的数据空缺. 1.不按照顺序分配编号 在插入新行时,通过遍历表,找到的第一个未分配的主键编号分配给新行,来代替原来自动分配的伪主键机制. 使用Select Max(Id) + 1 这种查询语句,会出现并发访问的问题. 2.为现有数据行重新编号:通常做法是找到主键最大的行,然后用最小的未被使用的值来更新它. 缺点:(1)SQL语句比较麻烦:   (2)必须同时更新所有引用了你重新分配了主键

SQL反模式学习笔记17 全文搜索

2014-10-16 09:56:37 目标:全文搜索 使用SQL搜索关键字,同时保证快速和精确,依旧是相当地困难. SQL的一个基本原来(以及SQL所继承的关系原理)就是一列中的单个数据是原子性的. 反模式:模式匹配 使用Like 或者正则表达式. 缺点:(1)无法使用索引,进行全表遍历,非常耗时,性能极低. (2)有时候会返回医疗之外的结果.select * from bugs where description like '%one%', 返回结果可能是money.prone.lonely

SQL反模式学习笔记8 多列属性

2014-10-13 10:32:12 目标:存储多值属性 反模式:创建多个列.比如一个人具有多个电话号码.座机号码.手机号码等. 1.查询:多个列的话,查询时可能不得不用IN,或者多个OR: 2.添加.删除时确保唯一性.判断是否有值:这些都很麻烦: 3.字段的列数无法确定具体数量. 如何识别反模式:当出现以下情况时,可能是反模式 1.应该支持的动态列的数量是多少? 2.如何才能在SQL查询中同时查询多列? 合理使用反模式: 在默写情况下,一个属性可能有固定数量的候选值,并且他们的存储位置和顺序