《PHP實(shí)例:PHP更安全的密碼加密機(jī)制Bcrypt詳解》要點(diǎn):
本文介紹了PHP實(shí)例:PHP更安全的密碼加密機(jī)制Bcrypt詳解,希望對(duì)您有用。如果有疑問(wèn),可以聯(lián)系我們。
前言PHP教程
我們常常為了避免在服務(wù)器受到攻擊,數(shù)據(jù)庫(kù)被拖庫(kù)時(shí),用戶(hù)的明文密碼不被泄露,一般會(huì)對(duì)密碼進(jìn)行單向不可逆加密――哈希.PHP教程
常見(jiàn)的方式是:PHP教程
| 哈希方式 | 加密密碼 |
| md5(‘123456') | e10adc3949ba59abbe56e057f20f883e |
| md5(‘123456' . ($salt = ‘salt')) | 207acd61a3c1bd506d7e9a4535359f8a |
| sha1(‘123456') | 40位密文 |
| hash(‘sha256', ‘123456') | 64位密文 |
| hash(‘sha512', ‘123456') | 128位密文 |
密文越長(zhǎng),在相同機(jī)器上,進(jìn)行撞庫(kù)消耗的時(shí)間越長(zhǎng),相對(duì)越安全.PHP教程
比較常見(jiàn)的哈希方式是 md5 + 鹽,避免用戶(hù)設(shè)置簡(jiǎn)單密碼,被輕松破解.PHP教程
password_hashPHP教程
但是,現(xiàn)在要推薦的是 password_hash() 函數(shù),可以輕松對(duì)密碼實(shí)現(xiàn)加鹽加密,而且?guī)缀醪荒芷平?PHP教程
$password = '123456'; var_dump(password_hash($password, PASSWORD_DEFAULT)); var_dump(password_hash($password, PASSWORD_DEFAULT));
password_hash 生成的哈希長(zhǎng)度是 PASSWORD_BCRYPT ―― 60位,PASSWORD_DEFAULT ―― 60位 ~ 255位.PASSWORD_DEFAULT 取值跟 php 版本有關(guān)系,會(huì)等于其他值,但不影響使用.PHP教程
每一次 password_hash 運(yùn)行結(jié)果都不一樣,因此需要使用 password_verify 函數(shù)進(jìn)行驗(yàn)證.PHP教程
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_verify($password, $hash));
password_hash 會(huì)把計(jì)算 hash 的所有參數(shù)都存儲(chǔ)在 hash 結(jié)果中,可以使用 password_get_info 獲取相關(guān)信息.PHP教程
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_get_info($hash));
輸出
PHP教程
array(3) {
["algo"]=>
int(1)
["algoName"]=>
string(6) "bcrypt"
["options"]=>
array(1) {
["cost"]=>
int(10)
}
}
注意:不包含 salt
PHP教程
可以看出我當(dāng)前版本的 PHP 使用 PASSWORD_DEFAULT 實(shí)際是使用 PASSWORD_BCRYPT.PHP教程
password_hash($password, $algo, $options) 的第三個(gè)參數(shù) $options 支持設(shè)置至少 22 位的 salt.但仍然強(qiáng)烈推薦使用 PHP 默認(rèn)生成的 salt,不要主動(dòng)設(shè)置 salt.PHP教程
當(dāng)要更新加密算法和加密選項(xiàng)時(shí),可以通過(guò) password_needs_rehash 判斷是否需要重新加密,下面的代碼是一段官方示例PHP教程
$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
// Check if a newer hashing algorithm is available
// or the cost has changed
if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
{
// If so, create a new hash, and replace the old one
$newHash = password_hash($password, PASSWORD_DEFAULT, $options);
}
// Log user in
}
password_needs_rehash 可以理解為比較 $algo + $option 和 password_get_info($hash) 返回值.PHP教程
password_hash 運(yùn)算慢PHP教程
password_hash 是出了名的運(yùn)行慢,也就意味著在相同時(shí)間內(nèi),密碼重試次數(shù)少,泄露風(fēng)險(xiǎn)降低.PHP教程
$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
echo "\n";
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
md5($password);
}
var_dump(microtime(true));
輸出
PHP教程
float(1495594920.7034) string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm" float(1495594920.7818) float(1495594920.7818) string(32) "e10adc3949ba59abbe56e057f20f883e" float(1495594920.7823)
password_hash 運(yùn)行一次耗時(shí) 784 毫秒, md5 運(yùn)行 1000 次耗時(shí) 5 毫秒.這是一個(gè)非常粗略的比較,跟運(yùn)行機(jī)器有關(guān),但也可以看出 password_hash 運(yùn)行確實(shí)非常慢.PHP教程
總結(jié)PHP教程
以上就是這篇文章的全部?jī)?nèi)容了,希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作能帶來(lái)一定的幫助,如果有疑問(wèn)大家可以留言交流,謝謝大家對(duì)維易PHP的支持.PHP教程
轉(zhuǎn)載請(qǐng)注明本頁(yè)網(wǎng)址:
http://www.fzlkiss.com/jiaocheng/615.html
