一般网站会将密码加密后储存到数据库里去，那网站管理员有没有权限查看用户的密码呢？
比如注册一些论坛什么的，论坛的管理员能否或有技术手段查看／得到用户的密码？ 基于以前的一些风闻，用户资料也是可以买卖的，比如一万条多少钱一类的，顺便在此求证。
按投票排序
本来想评论的，但是由于目标对象是提问者，就添加答案了。Rio说的从技术角度上来讲没有任何问题，但如果单纯要回答这个问题，我觉得会有误导之嫌——请允许我用这个词。
是的，如果管理员要查你的密码，他可以做很多手脚，总有办法拿到。密码是加密存储的，但他会知道用的是什么加密方式，是否可逆，能否碰撞。
可是粗暴地查看总是不行的——这就是我想告诉提问者的，不必过度担心。版本越新的数据库，会增加越来越多的安全措施，弥补漏洞，强制地保障系统安全，这就够把非技术管理员及一般的攻击者挡在门外了。CSDN的事件，让我震惊的既不是被入侵，也不是曾用过明文，而是CSDN的地位配上（2010年才改为加密存储）的不负责任做法，显出的巨大反差。可见，对于中小企业、个人网站来说，比起人气及效益，安全实在是太末节了，以至于他们不被显著地攻击一次都不想把任何心思放在这上面。最后补充一点，有一个行业事实是，泄露并贩卖那些用户信息的，其实绝大多数并不是信息拥有者，而是找到信息拥有着保管不妥善的漏洞从而非法获取的人。对于信息拥有者来说，用户信息是事关企业声誉的、有必要努力去保障安全的重要资产——如果它有声誉的话。
负责任的网站，即使数据库的DBA也是无法看到明文密码的。如果用户忘记密码，通常会给用户返回一个临时密码，用户确认临时密码生效后，登录后再设置自己的密码。只要涉及到密码，数据库中一定采用密文存储
有。因为不管怎样，用户在登陆的时候终究是要输入明文的密码，比如 123456，然后这个明文的密码发送到服务器端进行验证。也就是说，只要在验证密码的时候插入一个钩子就可以得到用户的帐号和明文密码的组合。为了安全，不要在任何情况下在多个网站使用相同的帐号密码组合，否则一旦你在一个网站的帐号密码被泄露，这些信息会波及到你在其他网站，从而造成更大的损失。至于如何管理好那么多帐号密码，请移步知乎的这个问题：
网站拿到明文密码后，不负责任的网站就直接存数据库了。这样的后果显而易见：一旦数据库泄露，所有用户的帐号密码就公之于众了，然后拿到这些泄密资料的人就可以用这些组合在其他网站逐个试出可用的帐号，造成连带的后果。这次泄露了的 CSDN 就是这样的典型案例。非常不幸的是，存明文密码的网站不在少数，而且不少是很多所谓的有公信力的大网站。
负责任的网站拿到明文密码后通常会做不同程度的保护。最常见的手法就是将密码进行哈希（hash）运算，然后只在数据库中存哈希后的值。哈希运算是一个单向的过程，即在数学性质上不可能（其实也不是绝对不可能，只是需要的运算量太大从而变得不现实）从哈希值反算出哈希前的明文密码。比如我设定的登陆密码明文是 123456，用最常见的 MD5 哈希运算 MD5("123456") 得到 e10adc3949ba59abbe56e057f20f883e 这个哈希值。然后网站把这个哈希值存在数据库中。下次我登陆的时候我还是输入 123456 这个明文密码，网站拿到明文密码后先进行 MD5 哈希运算，把得到的结果和数据库中存储的哈希值进行比对，如果两个哈希值一致，说明我输入了正确的明文密码。
但实际上如果网站只用简单的哈希运算，比如 MD5、SHA1 等快速哈希函数，也是不安全的，因为在现在的计算机硬件条件上简单的哈希保护机制会被多种方法破解。比如最简单高效的彩虹表攻击，所以网站还需要把哈希过程弄得更加复杂一点。彩虹表攻击的原理和防护机制详见知乎的这个问题：
更加安全的保护机制是客户端不向网站发送明文密码，而是采用比如公开密钥等非对称加密方式。但在大规模部署的时候很难向那么多小白用户解释清楚这样复杂的加密机制的工作原理，所以实践中一般只有管理员登陆服务器这样的高危行为才会采用非对称加密，而面向公众的网站页面登陆还是采用简单对称密码。当然业界也在为了解决这个难题而努力，比如一直被寄予厚望的 OpenID 和最近 Mozilla 开始推的 BroswerID。只是这些替代方案解释起来还是很不容易，能否普及起来、什么时候普及起来还不清楚。
最后，在这个世界变得完全美好之前，容我再啰嗦一遍：为了安全，不要在任何情况下在多个网站使用相同的帐号密码组合，否则一旦你在一个网站的帐号密码被泄露，这些信息会波及到你在其他网站，从而造成更大的损失。如何管理好那么多帐号密码，请移步知乎的这个问题：
感觉这里的回答有一点偏题了。这个问题是管理员是否能够有权限查看用户的密码，但是回答里主要阐述了明文传输、Hash函数、公私钥加密等方法。请注意，这些方法更多的是防止传输过程中被窃听，但是最终数据库中会存一个值Value，登录过程中会有一个逻辑将用户输入的值Value‘进行转换。假设这个转化函数为f(Value')，最终如果Value=f(Value')则登陆成功，反之失败。我们一点一点来探讨一下如何增强程序的逻辑来防止管理员通过查看用户数据库里密码的值来通过正常的程序登陆相应用户账号的方法：（管理员通过后台绕过程序的登陆过程之间访问用户账号不在技术的讨论范围内。）明文存储明文存储显然是不靠谱的，管理员可以通过查看到的密码直接登陆用户账号。存储实际密码的哈希函数数据库中只需存储实际密码的哈希函数，这个哈希函数可以是MD5、SHA1等，这样的情况下管理员无法直接获得用户的密码用来登陆相应的账号。正如 提到，这种方法可能会遭到彩虹表攻击。更加危险的是，对于管理员来讲如果他拥有对数据库的修改权限，那么他将有一种更加简单的攻击方式。自己注册一个账号A与密码P。在数据库中查询自己的账号的密码的哈希值Hash(P)。将要攻击的账号A'的密码的哈希值Hash(P')修改成自己账号的哈希值Hash(P)。利用要攻击的账号A'与自己的密码的哈希值Hash(P)从正常程序入口登录进行攻击。攻击结束将要攻击的账号A'的密码的哈希值改回Hash(P')。存储账号+密码的哈希函数为了防止上述的攻击方式，即跨账号的攻击。我们在数据库中存储的是账号+密码的哈希函数，这样的好处是管理员无法通过已有的其他账号来推测某些账号的密码。同时，彩虹表攻击的难度也增加了。为了攻击账号A，攻击者需要针对A来建立一个彩虹表；而这个彩虹表无法被应用去攻击账号B。存储域名+账号+密码的哈希函数上述方法解决的是跨账号的攻击问题，以此类推。用户在不同域名中的账号与密码可能有关联，因此利用了域名+账号+密码的哈希函数可以防止此类跨域攻击。
你请不起做网络安全的人我也就忍了，你最起码把我的密码MD5一下嘛....
通常数据库是不保存明文密码的，也就是说会对明文密码进行一系列不可逆的运算再进行保存，每次用户登陆时候重新进行这个运算来验证，所以管理员就是看到了也“没用”。关于CSDN，我就不理解了，保存明文密码这得是多么二的事情啊。
1.增加一点语句就可以直接把register到的用户和密码明文存入库中。
2.直接用彩虹表来跑。O(∩_∩)O哈哈~
没有，如果是在题主题目所述的前提条件下（将密码加密后储存到数据库里去）。而Rio说的在验证密码的时候插入钩子，并不属于把密码加密后储存，这样网站安全风险较大一般也不会有站长去做。另外想要获得不加密的密码储存也需要在登陆页面插入类似以下的代码（以PHP为例）然后等用户再次登陆，并无法直接解密密文（指的使用不可逆加密算法的情况，使用凯撒密码加密的肯定是可以轻易还原的，不过用凯撒密码加密可真是一件奇怪的事啊。）if(登陆条件成立){
$handle = fopen("user.txt", "a+");
fwrite($handle, date("Y-m-d")."|".$user."|".$password."\n");
fclose($handle);
一般注册一些论坛，如果在不修改LoginPage的情况下，论坛管理员也不会有权限看到密码的，只能从数据库看到加密后的密文。以比较常见的Discuz!论坛程序为例，其加密方法也不是常见的普通MD5加密，而是MD5(MD5+salt)（叫法随意）。
简单说下MD5(MD5+salt)加密算法，用php函数表示就是md5(md5($password).$salt)，$salt是一个六位随机数字，这样一来，123456加密后会变成什么呢？1、生成随机数$salt=179243，最终会和加密后的密文一同入库。2、MD5(123456)=e10adc3949ba59abbe56e057f20f883e3、加
salt，变成e10adc3949ba59abbe56e057f20f883e1792434、再次加密，最终密文Password=MD5(e10adc3949ba59abbe56e057f20f883e4d626bcdc53baefe34d71这样的加密方法我个人认为目前已经不可能通过彩虹表爆出，如果要爆出这样的10位数字母+数字的密码，彩虹表需要的数据量大家可以计算一下。
题外话就不说了，最后解答题主最后一问：“基于以前的一些风闻，用户资料也是可以买卖的，比如一万条多少钱一类的，顺便在此求证。”
确实是可以买卖的，一般买卖的是电子邮箱地址（少数网站会要求会员等登记手机号码数据，这些更值钱）之类的联系方式，买来用来发垃圾邮件的。从一些网站购买电子邮箱地址，优点是针对性强，比如你想推销一些数码产品，那么你可以主动联系一些数码网站的站长收购邮箱地址，这样用了发垃圾邮件推销产品成功率就比你穷举QQ邮箱地址那样发要高得多。出售价格一般波动比较大，是看用户价值，像一些车友网站，会员的联系方式肯定要比李毅粉丝站的值钱。
如果题主比较担心自己邮箱地址泄露，可以使用Gmail的别名功能，比如你的Gmail地址是XXX@ ，当你注册知乎的时候你可以填写XXX+zhihu@ ，这样注册过后如果知乎把你邮箱地址（XXX+zhihu@ ）卖了，别人发广告到你的邮箱地址XXX+zhihu@ ，你就可以知道知乎把你邮箱地址卖了。（蛤蛤不过要是被知道就不灵了，一个正则过滤就可以把这些全部清理干净）
一般情况下密码会经过加密然后放倒数据库里面
一般这一过程使用不可逆的算法
比如你的密码是123 加密后是awd
管理员可以看到awd,但是无法还原出来123
要正式从登陆界面登陆需要的是123 所以这样是没用的
不过如果他在加密之前就获取密码的话就可以了
一般情况下 DBA 只能够查看到加密后的密码。不一定知道加密算法。所以很难对密码进行破解。其实更加可能盗用密码的是程序员！他们知道算法，也能够通过数据库或者程序知道你们的加密密码就可以进行破解。升至留下后门收集密码！最后 如果你不信任一个网站 你就顺便设置一个密码（非你的常用密码）。
通过md5等哈希算法加密后放到数据库本身是安全的，因为从理论上这些加密后的数据是不可逆的，也就是说管理员并不知道你的明文密码。但是目前通过彩虹表和md5碰撞库的方法，可以快速破解大量弱密码，这样就要求用户提高自身的密码强度，并且在不同的网站采用不同的密码和密码方式（防止通过密码心理学和社工进行爆破）。而在服务器端采用动态salt的方式对密码进行加密，也可以有效防止彩虹表的攻击。请记住对密码进行加密一定要采用hash，也就是不可逆，而不是单纯的加密算法。
一般类的网站会使用密文存储，理论上管理员看不到明文密码。至于加密水平，各网站参差不齐吧！曾经试图截获同网络某只的fb cookie，然后顺利拿下 fb password -1 minute～
其实，上面的很多回答都提到数据库管理员只能看到密文存储的密码，这是的，我在想，管理员都能直接操作数据库了，还要你密码干啥，几个SQL数据把你的信息查个遍，呵呵，这时候有必要知道你密码么，数据这一条对数据库管理员没啥意义，应该问的是网站一般的管理员，一般管理员肯定不知道，就算明文存储，他们也不知道。
可以看见，不过不是明文密码，而是加过密的，要通过解密才可以看到
还有一种方式，即抛弃用户名和密码的验证机制，直接使用数字证书进行验证。而数字证书存储在特指的智能卡中（也叫UKey），无法被复制，证卡本身也具有密码保护，这样就可以实现更高的安全性了。不过使用数字证书的话，需要再客户端电脑上安装软件配置一些东西，对于普通用户来说会有一些困难。不过，安全和方便总是矛盾的嘛。
有感rio说的一定明文传服务器，前提是https。非https一般会客户端hex一把，当然我也从access_log中抓过明文。。
曾经有一次被要求必须明文保存用户密码，后来有人查询用户资料就直接问我们要用户密码。
有节操的网站的数据库存的都是加密之后的密文。加密过程是不可逆的。网站登录验证过程是把用户输入的密码同样走一遍加密过程看看跟密文是否一致，而不是直接对比输入密码和注册密码。管理员即使是直接查看数据库也是没办法看到原文的。当然要说特殊情况，密文在有些时候可以还原成原文，要看密码强度和加密强度。比如最简单的MD5算法配合6位以下密码的话...随便找个MD5库都能查出来
首先要明白储存数据是使用数据库来储存了。（维基百科是用的文件的形式）假设现在是一个博客系统：那么你所发表的文章与用户信息都需要使用数据库来储存。数据库的储存是不分密码与文章的，不会因为密码重要就安全性就高，数据库只是储存数据。那么既然文章可以读取出来，同样的密码也是可以读取出来的。所以管理员只要拥有数据库权限就是可以查看所有的数据
但凡有点节操的网站存贮密码肯定是加密后密文，且不可逆，比如md5。dba看到密文也没辙。给我们公司做网站的网络公司，跟他们要域名的管理密码和源文件死活不给,网上查过说应该给的，怎么样才要得到，谁给我支支招！
谢谢大家解答！就是遇到的那种不正规没道德的公司了。那个网站我来之前就做好了，过程我没经历，空间还是海外的没备案。因为我们打算重新做个新网站，原来那个又到期要续费了。一续就要续一年的，我们就想先放到其他公司托管一个月同时做个新的，需要源文件和域名密码。他们就是想捆绑客户让我们找不了其他家。
所有解答(18)
钱付清了吗？如没付就别付了！
看一下网站的注册人是谁，如果不是你方，这个域名是无法拿回来的，我的就是这么没了的。
说的不够详细，分析一：如果空间域名都是网路公司提供给你的，遇到钱付了，不提供产品的话估计你遇上骗子了。分析二：或许你们之间的某个条件没有达成共识。分析三：如果想解决问题，可以通过刑警的信息科来解决
域名来说的话,只要你知道是在万网还是新网注册的,就可以申诉获取到管理密码.而网站源文件,需要空间/主机/服务器的帐号和密码,这个通过PING网站域名可以获取到服务器所在位置,通过FTP可以上传和修改网站源码,那么,你们可以假借要自己上传一些东西的名义获取到FTP帐号和密码.这类公司确实垃圾.提醒各位路过的看官:自己注册域名和自己买服务器,就可以避免以上纠纷的发生了.
这问题其实蛮简单的，第一你们在港开始做网站的时候没有说清楚要源文件吧！，一般来说做网站的源文件就是那么几个变来变去的，所以他们也是怕给出去了对自己有影响，你给他们说明你们不会自己做网站就好！第二：域名的问题就好解决，你们在重新申请就行了，很少钱的，也免得一直在他们的控制之中。
协商吧，肯定你们之间有什么沟通不到位的地方。
花钱找黑客给你弄回来吧 ，不要再和那样的公司联系了，没有一点诚信，再合作下去只会损失的更多
实在要不回，就在论坛发贴，指名道姓公布那个公司名。发动全公司人、自己朋友……越多越好，而且是不停连续发直到对方求饶交会资料给你们才好。“对付无赖最好的办法就是比无赖更无赖”
不至于这样吧，谈谈好好。
1.首先查一下这个域名的所有人是谁，如果域名是网络公司的，你就走司法程序要会这个域名的所有权。有了域名的所有权，再向域名管理机构要回管理密码。2.关于网站的源文件一般是不给的，除非是你掏钱开发并且事先签订合同版权和源码归你所有。人家给你做一个网站可能收费就几千元，而源码的价值几万元，要人家的源码人家是不可能给的。管理后台最高权限的账号是可以给的。3.如果还不清楚，可以给我留言。
花钱在申请和注册一个就可以了，现在这么便宜，
应该按照合同约定来处理。
和联通企业网合作不会碰到这样的问题
要先知道域名所有权，如果是你们公司的，提供资料给新网或万网就可以直接找回，不然是不可以的，最好和网络公司协商下，网站的源文件一般是不会提供的，毕竟人家是靠那个吃饭的
合同应该有规定的，管理密码会给的
我可以完全负责任的帮你回答这个问题，因为我就是做这一行的。1、不要想着找回你的域名了，给你做网站的公司推脱给你这些资料，还有一个很可能的原因是他们自己都找不到给你注册域名时候的资料了。如果这个域名只是推广了一年的话，完全可以重新做一个。2、空间国内国外关系不大，除了你非要备案，但是你应该付款前拿到你的网站源程序的，这样不至于被动。3、就算上面两样没有，你手里也应该有你自己网址的FTP，可以自己下载上边的程序。我们公司从来都是用客户提供的资料给客户注册域名的，域名所有权肯定归客户。根本不存在这样的问题。你遇到这样的情况，就是那家公司向捆绑你。给你提供一个能找回源程序的办法：私下找他们公司的技术员，200块钱买你自己网站的FTP账号，然后把所有网站程序下载到你自己的电脑上，做一个304跳转页面，传上去，指向你的新网站，这样，即使客户用你的老域名访问你的网站，也可以把他带到你的新网站上。有不明白的可以跟我联系，我空间里有联系方式。希望能帮到你。
现在的情况是,给他们续了费,但是网站域名变了,好吧 ,变就变 至少能打开。十几天后也就是今天，网站又打不开了，他们公司怎么都联系不上,然后打听到他们办公司的东西被物管变卖抵房租。老板好像是跑回老家了吧。我们做百度推广不能没有网站啊 ，新的网站也没那么快做好。
1、到工信部域名备案网站查询一下，域名归属。2、源代码估计是要不到的3、后台，要看你的文件模式，php的估计要不到
点击表示感谢