密码哈希必须使用bcrypt、argon2等专用算法而非简单sha256,因其自动安全生成salt并嵌入哈希值;数据库只需存储单个password_hash字段(如$2b$12$...格式),禁止明文、base64或aes存储密码。
密码哈希不是简单加密,而是单向不可逆过程
用户密码绝不能明文存储,也不能用base64、AES等可逆方式“伪装”存储。哈希(hash)是唯一合规起点:它把任意长度密码映射为固定长度字符串,且无法反推原文。但仅用 hashlib.sha256(password.encode()).hexdigest() 仍不安全——相同密码会产生相同哈希值,容易被彩虹表批量破解。
salt必须随机生成,且每次注册都不同
salt 是一段随机字节,与密码拼接后再哈希,目的是让相同密码产生完全不同哈希结果。关键点有三个:
成新网络商城购物系统
下载
使用模板与程序分离的方式构建,依靠专门设计的数据库操作类实现数据库存取,具有专有错误处理模块,通过 Email 实时报告数据库错误,除具有满足购物需要的全部功能外,成新商城购物系统还对购物系统体系做了丰富的扩展,全新设计的搜索功能,自定义成新商城购物系统代码功能代码已经全面优化,杜绝SQL注入漏洞前台测试用户名:admin密码:admin888后台管理员名:admin密码:admin888
- salt 必须用密码学安全的随机源生成,如
os.urandom(32)或secrets.token_bytes(32),禁用random模块 - 每个用户注册时都要生成新 salt,不能复用、不能硬编码、不能全局固定
- salt 需和哈希值一起存入数据库(通常明文存储),验证时需原样取出参与计算
优先使用 bcrypt、argon2 或 passlib 封装方案
自己拼接 salt + hash 容易出错(比如编码错误、salt 长度不足、迭代次数过低)。推荐直接使用成熟库:
-
bcrypt:自动处理 salt 生成、嵌入与验证,安装
pip install bcrypt
示例:import bcrypt<br> password = b"my_secret"<br> salt = bcrypt.gensalt(rounds=12) # 推荐 12–14 轮<br> hashed = bcrypt.hashpw(password, salt)<br> # 存储 hashed(含 salt)到数据库<br> bcrypt.checkpw(password, hashed) # 验证返回 True/False
-
passlib:支持多种算法(bcrypt、argon2、pbkdf2),API 统一,推荐用于新项目
示例:from passlib.hash import argon2<br> hash_str = argon2.hash("my_secret") # 自动选 salt 和参数<br> argon2.verify("my_secret", hash_str)
数据库字段设计要兼容哈希格式
不要拆开存 salt 和 hash。现代哈希算法(如 bcrypt、argon2)会把 salt、哈希值、参数(如 rounds)按标准格式编码进一个字符串,例如:$2b$12$ZqFv9XJQv7LmK8WnRtYpOeUfGhIjKlMnOpQrStUvWxYzAbCdEfGhI
这个字符串本身已包含全部信息。数据库中只需一个 password_hash 字段(建议 VARCHAR(255) 或 TEXT),类型为文本,无需额外 salt 字段。
