敏感数据明文传输（密码）

1、  加密过程

加密分为单向和双向。拿登录功能来说，密码的加密发送。双向加密就是可逆的，这边加密，那边解密后跟数据库里的密码比对。单向是不可逆的，这边加密，那边无法解密，比对的方式是从数据库里拿出该用户的密码，进行同样的加密，比对加密后的值是否跟用户提交过来的加密串（散列）一致。由于加密算法需要发送到浏览器端来执行，因此双向加密对于http的client端来说不可行，最好的办法是单向加密，单向加密最常用的就是做MD5散列。

2、  MD5加salt（盐）

MD5传过去，服务器端把数据库里的密码做MD5后两相比对，等于还是拿POST过去的串原样比对。那我截获MD5串以后，原样POST给server端，不是一样能通过验证？我说，我们可以加点盐（salt），就是在做MD5之前给密码原文加上某个字符串后再做MD5运算。要点在于，这个salt，是每次提交之前跟服务器端实时申请的，而且会在很短的时间内自动过期（因为申请和验证之间的时间间隔只是两次连续http请求的时间，所以这个过期时间可以很短），这个salt只用一次，验证之后无论成功与否都会在服务器端强制作废。这样的话，截获任何一次MD5加密串，都无法用于另一次登录验证。

解决方案：（例如登陆）

前台：   MD5（密码+验证码 ） 加密

<script type="text/javascript" src="jsLib/md5.js"></script> 

  value =  md5(pwd+rand);