在 MySQL 中存储密码时,直接保存明文密码是极不安全的。推荐的做法是使用密码哈希算法对密码进行加密处理后再存储。MySQL 本身提供了一些内置的加密函数,也可以结合应用层(如 PHP、Python)使用更安全的哈希方式。
1. 使用 MySQL 内置哈希函数
MySQL 提供了几个用于生成哈希值的函数,最常用的是 PASSWORD() 和 SHA2()。但注意:不同函数的安全性差异较大。
注意:PASSWORD() 函数仅用于 MySQL 系统用户认证,不建议在应用程序中使用,且在高版本中已被弃用。
推荐使用 SHA2() 函数:
示例:
INSERT INTO users (username, password_hash)
VALUES ('alice', SHA2('mypassword', 256));
这里 SHA2('password', 256) 生成一个 256 位的 SHA-2 哈希值。
验证密码时:
SELECT * FROM users
WHERE username = 'alice'
AND password_hash = SHA2('entered_password', 256);
2. 使用更安全的应用层哈希(推荐)
虽然 MySQL 支持哈希函数,但更安全的做法是在应用层(如 Python、PHP)使用加盐哈希算法,例如 bcrypt、Argon2 或 PBKDF2。
为什么? 因为 SHA-2 等快速哈希算法容易受到彩虹表和暴力破解攻击。而 bcrypt 等算法内置“盐”(salt),并且计算慢,能有效抵御攻击。
以 PHP 为例:
$hashedPassword = password_hash('user_password', PASSWORD_BCRYPT);
// 存入数据库
$stmt = $pdo->prepare("INSERT INTO users (username, password_hash) VALUES (?, ?)");
$stmt->execute(['bob', $hashedPassword]);
登录时验证:
$stmt = $pdo->prepare("SELECT password_hash FROM users WHERE username = ?");
$stmt->execute(['bob']);
$user = $stmt->fetch();
<p>if ($user && password_verify('entered_password', $user['password_hash'])) {
echo "登录成功";
}</p>3. 数据库字段设计建议
无论使用哪种哈希方式,都应确保数据库中存储哈希值的字段足够长:
SHA-256 字符串长度:64 个字符(十六进制) bcrpt 哈希长度:通常 60 个字符 建议字段类型:VARCHAR(255)
建表示例:
CREATE TABLE users (
id INT AUTO_INCREMENT PRIMARY KEY,
username VARCHAR(50) UNIQUE NOT NULL,
password_hash VARCHAR(255) NOT NULL
);
4. 安全实践总结
永远不要在数据库中存储明文密码 避免使用 MD5、SHA1 等弱哈希算法 优先在应用层使用 bcrypt、Argon2 等抗暴力破解算法 每次哈希自动加盐,无需手动管理 salt 定期更新密码策略,支持重新哈希旧密码基本上就这些。核心是:别依赖 MySQL 自带函数做应用密码安全,用现代加盐哈希算法才是正道。
