研究了一下ThinkCMF的密码加密，看完之后我觉得：这加密完全没有什么屁用呀！

密码加密的作用是让数据库被黑客窃取后无法获得真实的密码，现在MD5已经不是一个安全的密码加密手法了。我们来看看ThinkCMF的加密函数：

function sp_password($pw){
	$decor=md5(C('DB_PREFIX'));
	$mi=md5($pw);
	return substr($decor,0,12).$mi.substr($decor,-4,4);
}

执行此加密方法后的密码为：数据库表前缀（默认为“sp_”）MD5值得前12位和后4位与输入的密码的MD5相加。

这个加密让网站被脱裤后与普通MD5加密的破解难度是相同的，因为黑客可以直接去掉数据库中存储密码的开头12位和后4位就是用户密码的MD5值。看看上图，我们的加密函数简直。。。你懂得

我认为正确的加密方式应该是：

function sp_password($pw){
	$decor=md5(substr($pw,0,6));//密码最少6位
	$salt = substr($decor,0,12).$pw;
	return md5($salt);
}

希望官方修改

评论