password salt

首先用户名密码以明文的方式存在数据库是不可取的。

一旦数据库被攻破就能直接获取到你的信息，CSDN网站用户密码泄漏就是一个例子（传送门）。

 

密码必定要加密以后存数据库，使用加密算法 (例如 md5)

这是一种比较正确的作法，可是简单加密仍是可以经过一些手段来破解。例如 字典破解（Dictionary Attack）和暴力破解（Brute Force Attack）。简单来讲就是猜密码，固然不是你本身猜，让计算机来猜。

还有利用查表的方式直接查到你的密码（若是你的密码太简单的话）

 

那么相对比较安全的作法是用 盐 (password salt)

什么意思？就是在生成密码hash值的以前，使用一个随机字符串与用户密码拼接以后再进行散列，再存储到数据库。

用户登陆的时候拿到用户输入的密码与salt拼接以后的散列值，再于数据库存储的散列值比较是否一致。

采用这种方式加密密码，查表法就不灵了（由于盐是随机生成的）。

加密的方式不止 md5， 还有如 sha-1 sha-256 等

事实上 md5, sha-1 已经被证实存在安全漏洞，应避免使用。