太原PHP培训
达内太原php培训中心

0351-5608878

热门课程

PHP Bcrypt 更安全的密码加密机制

  • 时间:2017-05-25
  • 发布:抒写
  • 来源:抒写

PHP Bcrypt 更安全的密码加密机制

为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密—— 哈希

常见的方式是:

哈希方式加密密码

md5(‘123456’)e10adc3949ba59abbe56e057f20f883e

md5(‘123456’ . ($salt = ‘salt’))207acd61a3c1bd506d7e9a4535359f8a

sha1(‘123456’)40位密文

hash(‘sha256’, ‘123456’)64位密文

hash(‘sha512’, ‘123456’)128位密文

密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。

比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。

password_hash

但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。

$password = '123456';

var_dump(password_hash($password, PASSWORD_DEFAULT));

var_dump(password_hash($password, PASSWORD_DEFAULT));

password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。

每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。

$password = '123456';

$hash = password_hash($password, PASSWORD_DEFAULT);

var_dump(password_verify($password, $hash));

password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。

$password = '123456';

$hash = password_hash($password, PASSWORD_DEFAULT);

var_dump(password_get_info($hash));

输出

array(3) {

["algo"]=>

int(1)

["algoName"]=>

string(6) "bcrypt"

["options"]=>

array(1) {

["cost"]=>

int(10)

}

}

注意不包含 salt

可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT

password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt

当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例

$options = array('cost' => 11);

// Verify stored hash against plain-text password

if (password_verify($password, $hash))

{

// Check if a newer hashing algorithm is available

// or the cost has changed

if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))

{

// If so, create a new hash, and replace the old one

$newHash = password_hash($password, PASSWORD_DEFAULT, $options);

}

// Log user in

}

password_needs_rehash 可以理解为比较 $algo + $option password_get_info($hash) 返回值。

password_hash 运算慢

password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。

$password = '123456';

var_dump(microtime(true));

var_dump(password_hash($password, PASSWORD_DEFAULT));

var_dump(microtime(true));

echo "\n";

var_dump(microtime(true));

var_dump(md5($password));

for ($i = 0; $i < 999; $i++)

{

md5($password);

}

var_dump(microtime(true));

输出

float(1495594920.7034)

string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"

float(1495594920.7818)

float(1495594920.7818)

string(32) "e10adc3949ba59abbe56e057f20f883e"

float(1495594920.7823)

password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢。

今天就给大家讲这么多吧,php作为开发类的一个语言,现在收到越来越多人的关注,选择太原php培训,不再孤军奋战,轻轻松松做IT高薪白领。太原达内培训带领有明确目标的学子迈向成功之路!

上一篇:微软中国正式宣布Windows 10政府版:神州网信开发
下一篇:PHP or Python如何选择?

HHVM 3.23 发布,高速的 PHP 执行引擎

PHP 支付类库 PaySDK v1.0.1,优化结果处理,修复问题

CakePHP 3.5.6 发布,PHP 开发框架

太原php培训之常用框架--Laravel框架

选择城市和中心
贵州省

广西省

海南省