在WordPress插件中使用加密类

时间:2016-04-12 作者:Mehran

我正在制作一个处理敏感数据的WordPress插件。因此,我需要使用可靠的加密方法存储/检索日期。

我在许多php加密包装器类中进行了一些搜索,最终找到了Defuse\\Crypto 作为最佳选择之一。

该类至少需要PHP 5.4,并且还使用openssl\\uuU和hash\\uHMAC

你觉得怎么样?在用户主机上安装插件时,我是否会遇到这些要求的问题?或者共享托管公司默认覆盖它们?

非常感谢。

2 个回复
SO网友:Rarst

这些要求是否等同于WordPress core的要求?

不,WordPress仍然在PHP 5.2上运行,上面没有更多限制,目标是在垃圾场找到的烤面包机上工作。

这些要求对现代PHP托管实用吗?

没错,PHP 5.4已经过时(安全支持已于去年结束),目前支持的最低版本是更新的5.5,openssl非常常见,我想哈希函数是内置的?

从本质上讲,这是你在两个目标中的选择。这首先是一个商业决策,而不是技术决策。

SO网友:Mark Kaplun

他的https://wordpress.org/about/stats/ 应该是你的向导。正如您所看到的,超过30%的wordpress网站运行在php上,这些网站不符合您的要求。

旁注:IMHO如果您对加密理解不够,无法直接使用PHP API,那么在某些库之后隐藏不会提高加密质量,除非这样做只是为了让它看起来“安全”。在您的场景中,一个常见的错误是在插件中硬编码加密密钥。

相关推荐

WordPress security

我通过wordpress为我的客户创建了一个网站,并将其上传到他们的服务器上。。我们假设用户可以访问整个服务器。。是否可以通过在数据库中编辑管理员密码或添加需要我权限的脚本来保护此网站不被其他服务器使用。