摘要:這里使用你完全可以不提供鹽值和消耗值�,你可以將后者理解為一種性能的消耗值,越大�,加密算法越復(fù)雜,消耗的內(nèi)存也就越大��。
原文來(lái)自: https://jellybool.com/post/php-password-hash-in-the-right-way
在使用PHP開(kāi)發(fā)Web應(yīng)用的中�,很多的應(yīng)用都會(huì)要求用戶注冊(cè),而注冊(cè)的時(shí)候就需要我們對(duì)用戶的信息進(jìn)行處理了�����,最常見(jiàn)的莫過(guò)于就是郵箱和密碼了�����,本文意在討論對(duì)密碼的處理:也就是對(duì)密碼的加密處理���。
MD5
相信很多PHP開(kāi)發(fā)者在最先接觸PHP的時(shí)候�����,處理密碼的首選加密函數(shù)可能就是MD5了���,我當(dāng)時(shí)就是這樣的:
$password = md5($_POST["password"]);
上面這段代碼是不是很熟悉���?然而MD5的加密方式目前在PHP的江湖中貌似不太受歡迎了�,因?yàn)樗募用芩惴▽?shí)在是顯得有點(diǎn)簡(jiǎn)單了,而且很多破解密碼的站點(diǎn)都存放了很多經(jīng)過(guò)MD5加密的密碼字符串�,所以這里我是非常不提倡還在單單使用MD5來(lái)加密用戶的密碼的。
SHA256 和 SHA512
其實(shí)跟前面的MD5同期的還有一個(gè)SHA1加密方式的���,不過(guò)也是算法比較簡(jiǎn)單��,所以這里就一筆帶過(guò)吧��。而這里即將要說(shuō)到的SHA256 和 SHA512都是來(lái)自于SHA2家族的加密函數(shù)�����,看名字可能你就猜的出來(lái)了�,這兩個(gè)加密方式分別生成256和512比特長(zhǎng)度的hash字串��。
他們的使用方法如下:
PHP內(nèi)置了hash()函數(shù)�,你只需要將加密方式傳給hash()函數(shù)就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。
鹽值
在加密的過(guò)程����,我們還有一個(gè)非常常見(jiàn)的小伙伴:鹽值。對(duì)���,我們?cè)诩用艿臅r(shí)候其實(shí)會(huì)給加密的字符串添加一個(gè)額外的字符串��,以達(dá)到提高一定安全的目的:
Bcrypt
如果讓我來(lái)建議一種加密方式的話�����,Bcrypt可能是我給你推薦的最低要求了���,因?yàn)槲視?huì)強(qiáng)烈推薦你后面會(huì)說(shuō)到的Hashing API,不過(guò)Bcrypt也不失為一種比較不錯(cuò)的加密方式了��。
Bcrypt 其實(shí)就是Blowfish和crypt()函數(shù)的結(jié)合���,我們這里通過(guò)CRYPT_BLOWFISH判斷Blowfish是否可用�,然后像上面一樣生成一個(gè)鹽值���,不過(guò)這里需要注意的是�����,crypt()的鹽值必須以$2a$或者$2y$開(kāi)頭�����,詳細(xì)資料可以參考下面的鏈接:
http://www.php.net/security/crypt_blowfish.php
更多資料可以看這里:
http://php.net/manual/en/function.crypt.php
Password Hashing API
這里才是我們的重頭戲�����,Password Hashing API是PHP 5.5之后才有的新特性����,它主要是提供下面幾個(gè)函數(shù)供我們使用:
password_hash() – 對(duì)密碼加密.
password_verify() – 驗(yàn)證已經(jīng)加密的密碼����,檢驗(yàn)其hash字串是否一致.
password_needs_rehash() – 給密碼重新加密.
password_get_info() – 返回加密算法的名稱和一些相關(guān)信息.
雖然說(shuō)crypt()函數(shù)在使用上已足夠,但是password_hash()不僅可以使我們的代碼更加簡(jiǎn)短���,而且還在安全方面給了我們更好的保障�����,所以����,現(xiàn)在PHP的官方都是推薦這種方式來(lái)加密用戶的密碼,很多流行的框架比如Laravel就是用的這種加密方式�。
對(duì),就是這么簡(jiǎn)單�����,一行代碼��,All done����。
PASSWORD_DEFAULT目前使用的就是Bcrypt,所以在上面我會(huì)說(shuō)推薦這個(gè)�����,不過(guò)因?yàn)?b>Password Hashing API做得更好了����,我必須鄭重地想你推薦Password Hashing API。這里需要注意的是���,如果你代碼使用的都是PASSWORD_DEFAULT加密方式���,那么在數(shù)據(jù)庫(kù)的表中�,password字段就得設(shè)置超過(guò)60個(gè)字符長(zhǎng)度����,你也可以使用PASSWORD_BCRYPT,這個(gè)時(shí)候�����,加密后字串總是60個(gè)字符長(zhǎng)度���。
這里使用password_hash()你完全可以不提供鹽值(salt)和 消耗值 (cost),你可以將后者理解為一種性能的消耗值����,cost越大,加密算法越復(fù)雜���,消耗的內(nèi)存也就越大����。當(dāng)然��,如果你需要指定對(duì)應(yīng)的鹽值和消耗值,你可以這樣寫(xiě):
custom_function_for_salt(), //write your own code to generate a suitable salt
"cost" => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);
密碼加密過(guò)后�,我們需要對(duì)密碼進(jìn)行驗(yàn)證,以此來(lái)判斷用戶輸入的密碼是否正確:
很簡(jiǎn)單的吧����,直接使用password_verify就可以對(duì)我們之前加密過(guò)的字符串(存在數(shù)據(jù)庫(kù)中)進(jìn)行驗(yàn)證了。
然而��,如果有時(shí)候我們需要更改我們的加密方式�,如某一天我們突然想更換一下鹽值或者提高一下消耗值,我們這時(shí)候就要使用到password_needs_rehash()函數(shù)了:
12])) {
// cost change to 12
$hash = password_hash($password, PASSWORD_DEFAULT, ["cost" => 12]);
// don"t forget to store the new hash!
}
只有這樣�,PHP的Password Hashing API才會(huì)知道我們重現(xiàn)更換了加密方式,這樣的主要目的就是為了后面的密碼驗(yàn)證���。
簡(jiǎn)單地說(shuō)一下password_get_info()�����,這個(gè)函數(shù)一般可以看到下面三個(gè)信息:
algo – 算法實(shí)例
algoName – 算法名字
options – 加密時(shí)候的可選參數(shù)
所以�����,現(xiàn)在就開(kāi)始用PHP 5.5吧���,別再糾結(jié)低版本了���。
Happy Hacking
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/21030.html
