摘要：永遠(yuǎn)使用哈希算法來(lái)處理密碼。絕不要使用弱哈希或已被破解的哈希算法，像或。只要你對(duì)密碼進(jìn)行哈希處理了，那么無(wú)論是技術(shù)上，還是在存儲(chǔ)上都沒(méi)有任何限制。

在你的應(yīng)用程序中正確處理密碼是非常關(guān)鍵的。前陣閱讀CI手冊(cè)，發(fā)現(xiàn)CodeIgniter對(duì)密碼處理的總結(jié)對(duì)我很有幫助，把這個(gè)清單分享給大家，它告訴你什么該做，什么不該做。

絕不要以明文存儲(chǔ)密碼。永遠(yuǎn)使用 哈希算法 來(lái)處理密碼。

絕不要使用 Base64 或其他編碼方式來(lái)存儲(chǔ)密碼。這和以明文存儲(chǔ)密碼是一樣的，使用哈希 ，而不要使用編碼。
（編碼以及加密，都是雙向的過(guò)程，而密碼是保密的，應(yīng)該只被它的所有者知道， 這個(gè)過(guò)程必須是單向的。哈希正是用于做這個(gè)的，從來(lái)沒(méi)有解哈希這種說(shuō)法， 但是編碼就存在解碼，加密就存在解密。）

絕不要使用弱哈?；蛞驯黄平獾墓Ｋ惴?，像 MD5 或 SHA1。
（這些算法太老了，而且被證明存在缺陷，它們一開(kāi)始就并不是為了保存密碼而設(shè)計(jì)的。另外，絕不要自己發(fā)明算法。）

只使用強(qiáng)密碼哈希算法，例如 BCrypt。
（在 PHP 自己的 密碼哈希 函數(shù)中也是使用它。）

絕不要以明文形式顯示或發(fā)送密碼。
（即使是對(duì)密碼的所有者也應(yīng)該這樣。如果你需要 "忘記密碼" 的功能，可以隨機(jī)生成一個(gè)新的 一次性的（這點(diǎn)很重要）密碼，然后把這個(gè)密碼發(fā)送給用戶(hù)。）

絕不要對(duì)用戶(hù)的密碼做一些沒(méi)必要的限制。
（如果你使用除 BCrypt（它有最多 72 字符的限制）之外的其他哈希算法，你應(yīng)該設(shè)置一個(gè)相對(duì)長(zhǎng)一點(diǎn)的密碼長(zhǎng)度（例如 1024 字符），這樣可以緩解 DoS 攻擊。但是除此之外，對(duì)密碼的其他限制諸如密碼中只允許使用某些字符，或者密碼中不允許包含某些字符，就沒(méi)有任何意義了。這樣做不僅不會(huì)提高安全性，反而 降低了 安全性，而且真的沒(méi)有任何理由需要這樣做。 只要你對(duì)密碼進(jìn)行哈希處理了，那么無(wú)論是技術(shù)上，還是在存儲(chǔ)上都沒(méi)有任何限制。）

擴(kuò)展閱讀：[鑒]PHP處理密碼的幾種方式：https://segmentfault.com/a/1190000003024932