避免明文保存用户密码

最近在学习php，对于安全的一点点小心得。

用php做一个注册/登陆页面时，要记得用对密码进行加密（AES或者RSA）。

Mysql提供了方便使用的AES_ENCRYPT('$password', '$password')函数，可以保证我们在存储密码时至少不是明文状态。这个函数的第一个参数是，要保存的内容而第二个参数则是密钥。一般我们也用要加密的内容作为密钥，这样至少可以保证不会因为密钥泄露而导致用户的密码遭到破解。

同时要注意使用AES加密内容时，内容所在字段类型为二进制的原始内容比如varbinary，同时给予足够的字段长度，因为加密后的内容势必要比原内容冗余。

除此之外，在页面中用户能接受用户输入的地方使用mysql_real_escape_string($_POST['username'])函数进行转义，来防止sql注入。

最后，我觉得前端也有必要使用js进行一定的加密然后将数据传输至后端进行验证，毕竟在如今智能路由和公共免费WiFi越来越多的情况下，在传输层进行抓取应该还是很容易办到的。