POST数据加密问题

一个简单的登录页面,用户名和密码POST给服务器,一般情况下,抓包可以获取到POST值,现在想对参数在POST给服务器之前进行下加密,在PHP中如何实现呢?我本想通过JS... 一个简单的登录页面,用户名和密码POST给服务器,一般情况下,抓包可以获取到POST值,现在想对参数在POST给服务器之前进行下加密,在PHP中
如何实现呢?我本想通过JS获取输入框值,然后逐个分析字符ASCII码做处理,再通过AJAX
POST出去,到服务器那边解密处理,不过那样的话,JS数据又可以被下载。。。JS文件用PHP格式做吧,输出又嫌麻烦。。。其实很犹豫,即使POST暗文。。。一个fsock将抓包获取的数据全发送过去,是不是照样可以通过认证?????一般是怎样处理呢?PHP
有没有相关类库或其他办法?菜鸟求教,先行谢过~
展开
 我来答
百度网友a19d193
2013-06-03 · TA获得超过3446个赞
知道大有可为答主
回答量:1464
采纳率:100%
帮助的人:1450万
展开全部

首先来说,目前常用的方式有两种,

  1. 浏览器端安全控件,淘宝、银行等均采用该方式,优点是安全系数高,缺点是投资较大;

  2. 使用ssl方式完成登陆,安全系数一般,投资较低(需要申请ssl证书)

至于使用js在post前加密从原理上来说是根本没有意义的,就像你说的,js是明文的,所以破解并不难。


如果你要开发的应用对安全性有要求,建议采用ssl方式即可,如果对安全性要求极高,选择安全控件。


事实上,对于80%的网站,登录信息安全问题并不重要,尤其是抓包导致泄露的几率极低。因为抓包这个事其实技术门槛还是很高的,如果盗取的账号没有极高的价值很少有人会去做。就像微博,QQ等,服务商也只是提供了各种密保,而没有针对账号提交过程提供太大的保护。


99%的账号丢失问题来自于木马,通过监控键盘事件完成盗取,而这种行为js根本无能为力。甚至前面说过的两种加密方式也同样。


对于普通的网站,通常的手法就是要求认证用户的安全邮箱,当密码丢失的时候可以通过安全邮箱重置密码,这就足够了。不建议尝试额外的手机找回密码、身份证绑定之类的功能,除非您的网站已经足够强大,否则有一点安全知识的人都不会在莫名其妙的网站上输入自己的手机号和身份证的。同理,就算你提供了安全控件,很多人可能也不会选择安装,因为你没办法证明自己提供的安全控件是安全的。


不要把抓包想的太容易哦,谁知道用户什么时候会登录,从什么地方过来,发到哪里,总不能24小时盯着吧?费这么大劲偷到了,连几千块钱都不值,他不是白费力气吧?能用这种方式盗取信息的人,你觉得他会对万把块的小钱感兴趣吗?除非是有人花钱请他对你的网站恶意攻击。也简单,平时注意备份就好了。和洪水地震的几率差不多。

来自:求助得到的回答
环环学姐姐
2013-06-03 · TA获得超过2506个赞
知道小有建树答主
回答量:977
采纳率:57%
帮助的人:103万
展开全部
务器那边解密处理,不过那样的话,JS数据又可以被下载。。。JS文件用PHP格式做吧,输出又嫌麻烦。。。其实很犹豫,即使POST暗文。。。一个fsock将抓包获取的数据全发送过去,是不是照样可以通过
已赞过 已踩过<
你对这个回答的评价是?
评论 收起
推荐律师服务: 若未解决您的问题,请您详细描述您的问题,通过百度律临进行免费专业咨询

为你推荐:

下载百度知道APP,抢鲜体验
使用百度知道APP,立即抢鲜体验。你的手机镜头里或许有别人想知道的答案。
扫描二维码下载
×

类别

我们会通过消息、邮箱等方式尽快将举报结果通知您。

说明

0/200

提交
取消

辅 助

模 式