如果你使用php5.5版本的話我們對(duì)于哈希創(chuàng)建和驗(yàn)證方法就簡(jiǎn)單多了,PHP 5.5為我們提供了4個(gè)函數(shù):password_get_info(), password_hash(), password_needs_rehash(),和password_verify(),有了它們四我們就可以快速實(shí)現(xiàn)哈希創(chuàng)建和驗(yàn)證了.

首先討論password_hash()函數(shù),這將用作創(chuàng)建一個(gè)新的密碼的哈希值,它包含三個(gè)參數(shù):密碼、哈希算法、選項(xiàng)。前兩項(xiàng)為必須的,你可以根據(jù)下面的例子來使用這個(gè)函數(shù),代碼如下:

1. $password = 'foo'; 
2. $hash = password_hash($password,PASSWORD_BCRYPT); 
3. //$2y$10$uOegXJ09qznQsKvPfxr61uWjpJBxVDH2KGJQVnodzjnglhs2WTwHu 

你將注意到我們并沒有給這個(gè)哈希加任何選項(xiàng),現(xiàn)在可用的選項(xiàng)被限定為兩個(gè):cost 和salt,要添加選項(xiàng)你需要?jiǎng)?chuàng)建一個(gè)關(guān)聯(lián)數(shù)組,代碼如下:

$options = [ 'cost' => 10,'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM) ]; 

將選項(xiàng)添加到 password_hash() 函數(shù)后,我們的哈希值變了,這樣更加安全,代碼如下:

$hash = password_hash($password,PASSWORD_BCRYPT,$options);

//$2y$10$JDJ5JDEwJDhsTHV6SGVIQuprRHZnGQsUEtlk8Iem0okH6HPyCoo22 

現(xiàn)在哈希創(chuàng)建完畢了,我們可以通過 password_get_info() 查看新建哈希值得相關(guān)信息,password_get_info() 需要一個(gè)參數(shù)——哈希值——并返回一個(gè)包含算法（所用哈希算法的整數(shù)代表形式）、算法名（所用哈希算法的可讀名稱）以及選項(xiàng)（我們用于創(chuàng)建哈希值得選項(xiàng)）的關(guān)聯(lián)數(shù)組,代碼如下:

1. var_dump(password_get_info($hash)); 
2. /* 
3. array(3) { 
4.   ["algo"]=> 
5.   int(1) 
6.   ["algoName"]=> 
7.   string(6) "bcrypt" 
8.   ["options"]=> 
9.   array(1) { 
10.     ["cost"]=> 
11.     int(10) 
12.   }//開源代碼Vevb.com 
13. } 

先一個(gè)被添加到 Password Hashing API 的是 password_needs_rehash(),它接受三個(gè)參數(shù),hash、hash 算法以及選項(xiàng),前兩個(gè)是必填項(xiàng), password_needs_rehash()用來檢查一個(gè)hash值是否是使用特定算法及選項(xiàng)創(chuàng)建的,這在你的數(shù)據(jù)庫(kù)受損需要調(diào)整hash時(shí)非常有用,通過利用 password_needs_rehash() 檢查每個(gè)hash值,我們可以看到已存的hash 值是否匹配新的參數(shù),僅影響那些使用舊參數(shù)創(chuàng)建的值.

最后,我們已經(jīng)創(chuàng)建了我們的hash值,查閱了它如何被創(chuàng)建,查閱了它是否需要被重新hash,現(xiàn)在我們需要驗(yàn)證它,要驗(yàn)證純文本到其hash值,我們必須使用 password_verify(),它需要兩個(gè)參數(shù)，密碼及hash值,并將返回 TRUE 或 FALSE,讓我們檢查一次我們獲得的 hashed 看看是否正確,代碼如下:

1. $authenticate = password_verify('foo','$2y$10$JDJ5JDEwJDhsTHV6SGVIQuprRHZnGQsUEtlk8Iem0okH6HPyCoo22'); 
2. //TRUE 
3. $authenticate = password_verify('bar','$2y$10$JDJ5JDEwJDhsTHV6SGVIQuprRHZnGQsUEtlk8Iem0okH6HPyCoo22'); 
4. //FALSE 

例 Example #1 password_verify() example,代碼如下:

1. <?php 
2. // See the password_hash() example to see where this came from. 
3. $hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq'; 
4.  
5. if (password_verify('rasmuslerdorf', $hash)) { 
6.     echo 'Password is valid!'; 
7. } else { 
8.     echo 'Invalid password.'; 
9. } 
10. ?>  
11. //以上例程會(huì)輸出：Password is valid! 

通過以上知識(shí),你可以在新的 PHP 5.5.0 版本中迅速且安全的創(chuàng)建 hash 密碼了.