PHP 探测任意网站密码明文/加密手段办法： md5('240610708') == md5('QNKCDZO')

var_dump(md5('240610708') == md5('QNKCDZO'));
var_dump(md5('aabg7XSs') == md5('aabC9RqS'));
var_dump(sha1('aaroZmOk') == sha1('aaK1STfY'));
var_dump(sha1('aaO8zKZF') == sha1('aa3OFF9m'));
var_dump('0010e2' == '1e3');
var_dump('0x1234Ab' == '1193131');
var_dump('0xABCdef' == ' 0xABCdef');

感觉这个不科学啊

https://news.ycombinator.com/item?id=9484757

codejay

2015-05-04 18:47:30 +08:00

这不是两个字符串比较吗为什么要转换成数字

wy315700

2015-05-04 18:51:51 +08:00

@codejay php会转义一部分字符串到数字的。。。

gDD

2015-05-04 18:54:27 +08:00

@est @raincious 不一定，我所有判断都用 === 或者 !== 判断，只有不专业选手用 == 判断才会出你说的脑洞…

gDD

2015-05-04 18:55:57 +08:00

还有判断密码，secret 等要用 hash_equals()，直接用 === 会出 Timing Attack 漏洞的。

lincanbin

2015-05-04 19:05:45 +08:00

@gDD hash_equals版本要求太高了，只能自己项目用着玩，开源项目用不了。

gDD

2015-05-04 19:13:34 +08:00

@lincanbin 开源项目我觉得反而更容易解决，composer 一个 symfony security core 就好，里面有 hash_equals 的 shim，反而是公司内没用 composer 管理的的私有项目比较难维护。

noanti

2015-05-04 19:50:33 +08:00

这是php的feature?
php还真是最好的语言。。。

tSQghkfhTtQt9mtd

2015-05-04 19:56:19 +08:00

password_hash() 路过......

xiaozi

2015-05-04 20:09:45 +08:00

这完全是没有 ===，如果是 ===，根本就没办法检测吧。

invite

2015-05-04 22:02:18 +08:00

从另一方面印证了：PHP 是全宇宙最牛逼的语言。

barbery

2015-05-04 22:11:55 +08:00

官方都建议直接用password_hash加密，用md5还不加salt，我就真的没话说了

Jaylee

2015-05-04 22:16:21 +08:00

搞不懂这个贴子为啥到处都是，做PHP的人基础都这么差？都没看过手册？

est

2015-05-04 22:56:45 +08:00

@Jaylee 这个bug是最近wordpress爆出来的。。你是想说wordpress的人基础差么。。。

kofj

2015-05-04 23:48:54 +08:00

楼主的语法有问题.fix:探测任意php网站密码明文/加密手段办法

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/188364

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.