前言
我們常常為了避免在服務器受到攻擊���,數據庫被拖庫時,用戶的明文密碼不被泄露,一般會對密碼進行單向不可逆加密——哈希。
常見的方式是:
| 哈希方式 | 加密密碼 |
| md5(‘123456') | e10adc3949ba59abbe56e057f20f883e |
| md5(‘123456' . ($salt = ‘salt')) | 207acd61a3c1bd506d7e9a4535359f8a |
| sha1(‘123456') | 40位密文 |
| hash(‘sha256', ‘123456') | 64位密文 |
| hash(‘sha512', ‘123456') | 128位密文 |
密文越長����,在相同機器上����,進行撞庫消耗的時間越長�,相對越安全。
比較常見的哈希方式是 md5 + 鹽,避免用戶設置簡單密碼���,被輕松破解。
password_hash
但是,現在要推薦的是 password_hash() 函數,可以輕松對密碼實現加鹽加密,而且幾乎不能破解。
php/183190.html">php;">$password = '123456'; var_dump(password_hash($password, PASSWORD_DEFAULT));var_dump(password_hash($password, PASSWORD_DEFAULT));
password_hash 生成的哈希長度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位���。PASSWORD_DEFAULT 取值跟 php 版本有關系,會等于其他值�����,但不影響使用。
每一次 password_hash 運行結果都不一樣,因此需要使用 password_verify 函數進行驗證����。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT);var_dump(password_verify($password, $hash));
password_hash 會把計算 hash 的所有參數都存儲在 hash 結果中��,可以使用 password_get_info 獲取相關信息。
$password = '123456';$hash = password_hash($password, PASSWORD_DEFAULT);var_dump(password_get_info($hash));
輸出
array(3) { ["algo"]=> int(1) ["algoName"]=> string(6) "bcrypt" ["options"]=> array(1) { ["cost"]=> int(10) }} 注意:不包含 salt
可以看出我當前版本的 PHP 使用 PASSWORD_DEFAULT 實際是使用 PASSWORD_BCRYPT。
password_hash($password, $algo, $options) 的第三個參數 $options 支持設置至少 22 位的 salt�。但仍然強烈推薦使用 PHP 默認生成的 salt�����,不要主動設置 salt�����。
當要更新加密算法和加密選項時�����,可以通過 password_needs_rehash 判斷是否需要重新加密,下面的代碼是一段官方示例
$options = array('cost' => 11);// Verify stored hash against plain-text passwordif (password_verify($password, $hash)){ // Check if a newer hashing algorithm is available // or the cost has changed if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { // If so, create a new hash, and replace the old one $newHash = password_hash($password, PASSWORD_DEFAULT, $options); } // Log user in} password_needs_rehash 可以理解為比較 $algo + $option 和 password_get_info($hash) 返回值�����。
password_hash 運算慢
password_hash 是出了名的運行慢��,也就意味著在相同時間內��,密碼重試次數少,泄露風險降低���。
$password = '123456';var_dump(microtime(true));var_dump(password_hash($password, PASSWORD_DEFAULT));var_dump(microtime(true)); echo "/n"; var_dump(microtime(true));var_dump(md5($password));for ($i = 0; $i < 999; $i++){ md5($password);}var_dump(microtime(true)); 輸出
float(1495594920.7034)string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"float(1495594920.7818)float(1495594920.7818)string(32) "e10adc3949ba59abbe56e057f20f883e"float(1495594920.7823)
password_hash 運行一次耗時 784 毫秒, md5 運行 1000 次耗時 5 毫秒����。這是一個非常粗略的比較����,跟運行機器有關��,但也可以看出 password_hash 運行確實非常慢����。
總結
以上就是這篇文章的全部內容了���,希望本文的內容對大家的學習或者工作能帶來一定的幫助���,如果有疑問大家可以留言交流���,謝謝大家對VeVb武林網的支持����。
注:相關教程知識閱讀請移步到PHP教程頻道�����。
