现在网络上一般的网站,稍微完善一点的,往往都需要用户先注册,提供诸如电子邮件、账号、密码等信息,成为网站栏目的注册用户,才可以享受网站的一些特殊栏目提供的信息或者服务,例如免费电子邮件、论坛、聊天等。面对于电子商务网站来说,用户需要购买商品,就一定需要详细而准确的注册,而这些信息往往是用户的隐私信息,比如电话、电子邮件、地址等,所以注册信息对于网站和用户来说都是很重要的资源,不能随意透露,更加不能存在安全上的问题。
如果读者需要设计一个需要用户注册的网站,根据现在常用技术的实现方法,可以在数据库中建立一个存放用户信息的表,这个表中至少包括用户账号字段UserAccount和用户密码字段Password。当然,实际应用中一个用户信息表不可能就只有这些信息,往往会根据网站服务要求,适当增加一些其他的信息,以方便网站提供更加完整的服务。一般地,一个用户信息占用这个用户信息表的一行也就是一个数据记录,当用户登陆或者提交资料的时候,程序将用户天禧的信息与表中的信息对比,如果账号和密码准确无误,那么说明这个用户是合法用户,通过注册;反之,则是非法用户,不许通过。
然而,这样并没有达到安全要求。因为保存在数据库中的用户资料没有进行任何形式的保密措施,对于一些文件型数据库如Access等,如果有人得到这个文件,那么所有的资料都会泄露。更加重要的是,如果一个不负责任的网站,不需要任何技术手段,就可以查看网站中的任何资料,这样数据库中就没有加密的用户信息,对于网管而言,查看实在太简单了。所以为了增加安全性,有必要对数据库中的信息进行加密,这样即使有人得到了整个数据库,如果没有解密算法,也一样不能查看到用户的信息。
在现阶段,有两种加密方式,单向加密和双向加密。双向加密是加密算法中最常用的,它将可以直接理解的明文数据加密为不可直接理解的密文数据,然后,在需要的时候,可以使用一定的算法将这些加密以后的密文解密为原来可以直接理解的明文。双向加密适合于隐秘通信,例如,用户在网上购物时,需要向网站提交银行卡密码,用户当然不希望自己的信息在网上以明文的方式直接传送,因为这样很可能被别的用户“偷听”,用户希望自己的信用卡密码是经过加密以后,再在网上传输,因此网站接收到用户的数据以后,通过解密算法就可以得到准确的信用卡账号。单向加密则刚好相反,只能对数据进行加密,也就是说不能对加密后的数据进行解密。单向加密一般用于数据库中用户信息的加密,当用户创建一个新的账号或者密码时,它的信息不实直接保存到数据库中,儿时经过一次加密以后再保存,这样,技师这些信息泄露,也不能痢疾理解这些信息的含义。
MD5就是采用的单向加密算法。MD5的全称为Message-Digest-Algorithm 5,在20世纪90年代初由MIT得计算机科学实验室和RSA Data Security Inc发明,经MD2、MD3和MD4的发展而来。
Message-Digest泛指字节串(Message)的Hash变换,就是把一个任意长度的字节串变换成一个128bit的大整数。现在许多网站上都使用MD5对用户保存在数据库中的信息进行加密。这主要是因为MD5具有以下几个重要的特征:
1、任意两段明文数据,使用MD5加密算法加密以后的密文不相同;
2、任意一段明文数据,经过MD5加密算法后,其结果永远不变;
3、MD5加密算法的破解非常难。
现在网上MD5的ASP加密程序非常多,而且大部分都已经模块化了,可以把这些程序放到自己的文件夹下,按后直接引用即可。
