MySQL默认使用SHA-256或caching_sha2_password对用户密码进行哈希存储,密码以哈希值形式存于mysql.user表的authentication_string字段,如*EACFXXXX...;在应用中应使用bcrypt、scrypt或PBKDF2等强哈希算法加盐处理密码,避免MD5或SHA-1,确保数据库连接加密、限制权限并定期轮换密码,SQL中可临时用SHA2()函数但需配合盐值。
MySQL 使用密码哈希存储用户凭证是保障数据库安全的重要方式。默认情况下,MySQL 不会明文存储密码,而是使用强哈希算法进行加密处理。
从 MySQL 5.7 和 8.0 开始,系统使用 SHA-256 或更安全的 caching_sha2_password 认证插件对用户密码进行哈希处理。
当你执行如下语句时:
CREATE USER 'admin'@'localhost' IDENTIFIED BY 'mysecretpassword';MySQL 会自动将 mysecretpassword 经过哈希运算后存储在 mysql.user 表的 authentication_string 字段中,不会以明文保存。
你可以查看哈希后的值(不建议直接查询生产环境):
SELECT user, host, authentication_string FROM mysql.user WHERE user = 'admin';返回的是类似 *EACFXXXX... 的字符串,这就是经过 SHA-256 哈希并编码后的结果。
如果你在自己的业务表中需要存储用户密码(如用户管理系统),不要依赖 MySQL 自动处理,而应在应用层实现安全哈希。
推荐做法:
示例(以 PHP 的 password_hash 为例):
$hashedPassword = password_hash('user_password', PASSWORD_BCRYPT); // 存入数据库 INSERT INTO users (username, password_hash) VALUES ('alice', '$2y$10$...');验证时使用:
if (password_verify('entered_password', $stored_hash)) { // 登录成功 }确保整个密码存储链路安全:
如果必须在 SQL 中生成哈希(例如初始化数据),可使用 SHA2() 函数:
INSERT INTO users (name, pwd_hash) VALUES ('test', SHA2('password123', 256));但注意 SHA2 是单向哈希,仍需配合盐值使用才安全。
基本上就这些。关键是:别存明文,用强哈希,加盐,应用层处理最稳妥。
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
376
收藏
