答案:推荐在应用层使用bcrypt等加盐哈希算法存储密码。应避免明文存储,不使用MD5、SHA1等弱算法,mysql的PASSword()函数已弃用,SHA2()虽可用但易受攻击,建议应用层处理哈希,数据库字段用VARCHAR(255)存储,确保安全性。
在 MySQL 中存储密码时,直接保存明文密码是极不安全的。推荐的做法是使用密码哈希算法对密码进行加密处理后再存储。MySQL 本身提供了一些内置的加密函数,也可以结合应用层(如 php、python)使用更安全的哈希方式。
1. 使用 MySQL 内置哈希函数
MySQL 提供了几个用于生成哈希值的函数,最常用的是 PASSWORD() 和 SHA2()。但注意:不同函数的安全性差异较大。
注意:PASSWORD() 函数仅用于 MySQL 系统用户认证,不建议在应用程序中使用,且在高版本中已被弃用。
推荐使用 SHA2() 函数:
示例:
INSERT INTO users (username, password_hash) VALUES ('alice', SHA2('mypassword', 256));
这里 SHA2(‘password‘, 256) 生成一个 256 位的 SHA-2 哈希值。
验证密码时:
SELECT * FROM users WHERE username = 'alice' AND password_hash = SHA2('entered_password', 256);
2. 使用更安全的应用层哈希(推荐)
虽然 MySQL 支持哈希函数,但更安全的做法是在应用层(如 Python、PHP)使用加盐哈希算法,例如 bcrypt、Argon2 或 PBKDF2。
为什么? 因为 SHA-2 等快速哈希算法容易受到彩虹表和暴力破解攻击。而 bcrypt 等算法内置“盐”(salt),并且计算慢,能有效抵御攻击。
以 PHP 为例:
$hashedPassword = password_hash('user_password', PASSWORD_BCRYPT); // 存入数据库 $stmt = $pdo->prepare("INSERT INTO users (username, password_hash) VALUES (?, ?)"); $stmt->execute(['bob', $hashedPassword]);
登录时验证:
$stmt = $pdo->prepare("SELECT password_hash FROM users WHERE username = ?"); $stmt->execute(['bob']); $user = $stmt->fetch(); <p>if ($user && password_verify('entered_password', $user['password_hash'])) { echo "登录成功"; }</p>
3. 数据库字段设计建议
无论使用哪种哈希方式,都应确保数据库中存储哈希值的字段足够长:
- SHA-256 字符串长度:64 个字符(十六进制)
- bcrpt 哈希长度:通常 60 个字符
- 建议字段类型:
VARCHAR(255)
建表示例:
CREATE TABLE users ( id INT AUTO_INCREMENT PRIMARY KEY, username VARCHAR(50) UNIQUE NOT NULL, password_hash VARCHAR(255) NOT NULL );
4. 安全实践总结
- 永远不要在数据库中存储明文密码
- 避免使用 MD5、SHA1 等弱哈希算法
- 优先在应用层使用 bcrypt、Argon2 等抗暴力破解算法
- 每次哈希自动加盐,无需手动管理 salt
- 定期更新密码策略,支持重新哈希旧密码
基本上就这些。核心是:别依赖 MySQL 自带函数做应用密码安全,用现代加盐哈希算法才是正道。