使用MD5变换算法防穷举(冲撞)破译密码

MD5是在Web应用程序中最常用的密码加密算法。由于MD5是不可逆的，因而经过MD5计算得到后的密文，不能通过逆向算法得到原文。
　
　　回顾在Web应用程序中使用MD5加密文本密码的初衷，就是为了防止数据库中保存的密码不幸泄露后被直接获得。但攻击者不但拥有数据量巨大的密码字典，而且建立了很多MD5原文/密文对照数据库，能快速地找到常用密码的MD5密文，是破译MD5密文的高效途径。然而，MD5密文数据库所使用的是最常规的MD5加密算法：原文-->MD5-->密文。因此，我们可以使用变换的MD5算法，使现成的MD5密文数据库无所作为。
　

　　下面演示一些变换算法的例子 由于PHP没有提供现成的smtp函数，却提供了一个功能不甚灵活的mail()函数，这个函数需要服务器配置上的支持，并且不支持smtp验证，在很多场合无法正常的工作，因此不建议使用。本文的目的在于为新手指明方向，并没有涉及那些高级的内容，一来本身水平有限，二来也担心不能准确的讲述相关的概念，进而对各位造成误导，还请自行深入学习。
　　“使用php发送mail”最近已经成为继“register_globals”以后本版第二个新手陷阱，今天特地写这篇文章为新手解惑，希望可以为迷茫的人指明方向。
　
　　让我们先从以下这个例子开始说起：
　　引用:


　　注：以上来自netkiller的postfix文档，偷懒，直接用现成的。
　
　　首先是使用telnet来连接本地的25端口，稍微熟悉点网络的人都知道smtp协议使用25端口，这也就是说，现在在连接本地的smtp服务器。
　
　　引用:


　　这些东西是系统输出信息，说明已经连接上了，而且这个smtp服务器是postfix做的。
　
　　“MAIL FROM: teste@dominio.com.br”这个命令指明了发件地址是teste@dominio.com.br，“250 Ok”说明这条命令被服务器接受并正确执行，这类似http协议的200、404、500等状态代码。接下来的“RCPT TO: teste@dominio.com.br”指明了收件地址是teste@dominio.com.br。
　
　　引用:


　　这一段是输入邮件正文，输入“DATA”以后系统提示使用“＜回车＞.＜回车＞”来结束输入，正文内容是“teste”。
　　PHP作为一种脚本语言，以方便易于学习受到众多Web开发人员的喜爱，然而PHP也秉承了脚本语言的多种缺陷，如：代码数量庞大、执行效率低等；因此优化是PHP开发人员必须掌握的一种技巧。
　　本期专题从多个角度较为全面细致地阐述了PHP加速的相关技术，包括测试技术，加速技术(压缩，缓存等)，基本上都有附代码和范例。希望有助于读者全面了解PHP程序加速并在实际应用中选择合适的加速方案。
　　简介

　　今天，很少有人会怀疑时间是最宝贵的财富，尤其是商场上。程序速度越快，用户节约时间越多，这样你的程序就可以用更少的时间和服务器资源为用户服务，进而产生更多效益。　>>>[
接着我们要关注一下PHP加速的另一个领域—缓存工具软件。这类软件都是从优化PHP运行环境来提速的，不需要改变任何代码。我们可以大概地将它们称为“执行码优化/缓存工具”，你可以理解为它们用来实现比较底层的优化/缓存。
　
以下列出目前比较常用的此类工具，具体哪种效果最好，请用自己的服务器环境测试：
　　(一) APC Alternative PHP Cache
　　http://pecl.php.net/package-info.php?package=APC
　　APC运行于Linux和FreeBSD，你需要自己编译安装。按照其开发人员的说法，在他们的测试环境下可以提高脚本速度50%-400%。并且APC是个开源项目，已经加入了PHP的PECL库，很值得一试。
　　(二) Turck MMCache
　　http://turck-mmcache.sourceforge.net/
　　Turck MMCache似乎是此类软件中目前最受欢迎的一种，它开放源代码，完全免费。它将PHP代码预编译并缓存起来，同时也对PHP运行环境进行一定优化。按照其官方文档的说法，MMCache可以明显地减轻服务器的负载，并提高脚本执行速度1－10倍。
　　MMCache与另一个知名的加速软件Zend Optimizer兼容，但注意必需先安装MMCache（php.ini中设置）。除了加快PHP程序的速度，MMCache还可以将PHP代码加密。
　　Turck MMCache同时支持Linux和Win32平台。
　　(三) PHPA the PHP Accelerator
　　http://www.php-accelerator
　　PHPA又是另一个流行的PHP加速软件。在其官方网站上有分别使用PHPA与APC、Zend Cache的PHP脚本执行测试对比，其表现略优于APC，略逊于Zend Cache。
　　PHPA支持Linux, FreeBSD, OpenBSD, BSDi和Solaris系统.
　　(四) Zend Performance Suite
　　http://www.zend.com/
　　Zend Performance Suite是老牌的PHP加速/优化软件，依托于PHP领域最知名的Zend公司。目前已经推出4.0版本，它可以为PHP应用提供程序加速，内容缓存，文件压缩，下载服务等，功能十分强大，获得好几个PHP杂志的推荐奖—但是不得不提起，它也很昂贵，目前的价格是1875美元。
　　以上几种加速软件，希望读者按照服务器环境自行测试并选择其中最适用的，因为我没有办法提供一个普遍适用的测试标准来判断哪种方案是最有效的。综合起来看，我个人认为Turck MMCache是个值得推荐的选择，免费而且功能相当出色。
　　相对于Java由简入繁的演变趋势，PHP忠于简单易学原味的坚持受到广大开发者的欢迎，近年来声势大涨，而简单就是力量，这句话套用于近日PHP异军突起，再适合也不过了。老实说，原本觉得它不会太厉害，看到它最近的成长和茁壮，直攻Java阵营输于经营之处，让人对它刮目相看。
　
　　Netscape前CEO Marc Andressen在Zend／PHP大会上预言，简单易学的描述语言PHP将会比Java被更多人用于Web应用的开发上；再引用Cnet台湾报导的数据，全球大约有2200万个网站使用PHP，而且数量还在稳定增加中。
　
　　为什么PHP会如此受欢迎呢？我想简单好用是最大原因。如果网站只是提供使用者搜寻资讯的入口，网际网路上有许多现成、免费的、容易拿到，且已经做好的网站软体，如行事历、网站管理、新闻、报名系统、电子报、天气预报等免费的应用模组供下载安装使用，如此好康的事情，何乐而不为？而且只要买一本书，装一装，简单的设定就有讨论区，不用写任何程式，这对没有程式经验的人来说是好的进入点，也符合中小企业低成本建置网站的需求。作为Java人士，PHP的窜起给了我三个启示：
　　Web 开发：PHP夹缝中求生存之道
　　这些网路应用软体Java做不到吗？PHP夹在JSP(JavaServer Page )和ASP(Active Server Page )中间，说实在的，应该一点生存的机会都没有，因为他们的难易度、观念和架构、程式语法这三样差异不大；如果从弹性的角度来看，ASP可以去呼叫COM 元件，JSP是呼叫Java Beans元件，从开发延展性和系统的扩充性来说，都比PHP好太多，软体应用空间也相对更广阔。
　
　　当然，这些语言因为各有特长，都各自有发展，而PHP在众多网站开发工具市场中没有变得比较差，反而变得比较大，软体是免费虽然是主因之一，但我认为更重要的是，PHP社群很专心地开发动态网页技术，而且这个点作对了，而如果要学ASP就还要再学VB，学元件开发，Java领域除了JSP外，还可以作Severlet，作Severlet就会想说把EJB结合在一起，所以体系会越来越复杂，越复杂就筑起更高的学习门槛，如此一来，学习意愿低，人才少，成本相对较高，直接影响企业采用意愿。
　
　　现在的软体世界不只是应用之争，也是平台的拉锯战；过去开发人员会比较哪种程式语言比较棒，组合语言、Cobol、PL1、Ada（人工智慧）、LSPER、C等语言陆续问世，到最后只剩下C语言能留下来，连Pscal都需要有Delphi撑下来才能存活；如果要问说受欢迎的程式语言要具备什么特色，这些特色还真难归纳，例如开发弹性、功能强大、限制少、容易开发、使用性高等，每个语言先天都有这些特色，如果这些条件是程式语言存亡的关键因素，我想上述语言应该都不会结束，但随著技术演进和环境的改变，不适用或不符开发者需求的语言将逐渐被淘汰。