辽宁
大家好,最近有个朋友面试MySQL的岗位,被问了一个看似很简单的问题,结果直接翻车。面试官问他:如果要存储用户的密码散列,你会用什么字段?朋友脱口而出:"varchar"。没想到面试官微微一笑,追问:为什么是varchar?为什么不是char?你考虑过不同散列算法的长度吗?朋友当场就愣住了。
其实这个问题看似小儿科,背后却藏着很深的门道。我们平时设计用户表,密码绝对不能明文存储,而是要存储散列值。什么意思?比如用户的密码是123456,直接存到数据库里,一旦被拖库,所有人的账户就等于裸奔。
正确的做法是用算法把它散列成一串看似乱码的字符串,比如SHA-256之后会得到六十四个字符,这样即使泄露出去,黑客也很难反推出原始密码。
那问题来了,散列值到底要多长?不同算法其实有固定的输出,像MD5是三十二个字符,SHA-256是四十个,SHA-256是六十四个,SHA-512是一百二十八个,bcrypt固定六十个,而argon2通常在九十五个左右。
换句话说,这些都是定长的,不需要随便给一个varchar那么大。这时候选择char还是varchar就很关键了,char是定长字段,查询更快,空间更紧凑,非常适合存储这种定长散列。varchar是可变长的,如果用来存散列其实有点浪费。
举个例子,如果你项目里用了SHA-256,最合理的字段就是char。如果你未来可能升级算法,那可以选择char或者varchar,给自己留点扩展空间。
除此之外,还得考虑安全里一个重要的概念,就是加盐。所谓的盐就是在密码前后拼接一段随机字符串,再去散列。这样就算两个用户用了一样的密码,散列结果也完全不同,大大增加了破解难度。
那盐存哪?答案是盐也要存在数据库里,一般跟散列分开保存。常见做法是一个字段存散列,另一个字段存盐。我自己当年也踩过坑,第一次写用户表的时候,直接上了varchar,结果用户量一大,问题就出来了,索引效率下降,空间浪费。后来想换算法还得改表结构,真是麻烦得要命。从那之后我再也不乱写varchar了,而是严格根据算法来定长度。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
