Python Web 项目中密码该如何存储？

技术百科

冷炫風刃

发布时间：2026-01-20

浏览：次

密码必须使用加盐哈希存储，优先选用bcrypt或scrypt等慢哈希算法，配合passlib或bcrypt库实现；数据库字段建议VARCHAR(255)或TEXT；校验须用恒定时间比较函数。

密码绝不能以明文形式存储，必须使用加盐哈希（salted hashing）处理。Python 生态中推荐使用 passlib 或内置的 secrets + hashlib 配合 bcrypt / scrypt 等现代算法，避免用 md5、sha1 或未加盐的哈希。

这些是专为密码设计的慢哈希函数，能有效抵抗暴力破解和彩虹表攻击。它们自动处理加盐、迭代轮数等细节，开发者无需手动管理盐值。

安装 bcrypt：pip install bcrypt，然后用 bcrypt.hashpw() 生成哈希，bcrypt.checkpw() 校验
更安全的替代是 passlib（支持多种后端），一行代码即可：from passlib.hash import bcrypt; hash = bcrypt.hash("password123")
避免自己拼接盐和哈希，也不要重复实现加盐逻辑——出错概率高且易被绕过

bcrypt 输出约 60 字符（如 b$...），scrypt 或 argon2 可能更长。字段类型建议用 VARCHAR(255) 或更大，别用 CHAR(60) 或短于 100 的长度，否则未来升级算法可能失败。

直接用 == 比较字符串可能引发时序攻击。虽然实际风险较低，但专业实现应避免。

存储只是基础，还需配合其他措施提升整体安全性。

相关栏目： <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 AI推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【 SEO优化<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【技术百科<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【谷歌推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【百度推广<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【网络营销<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【案例网站<？ｍｕｍａ echo $count; ?> 】 <？ｍｕｍａ $count = M('archives')->where(['typeid'=>$field['id']])->count(); ?> 【精选文章<？ｍｕｍａ echo $count; ?> 】