媒介
我们经常为了停止在处事器受到进攻,数据库被拖库时,用户的明文暗码不被泄漏,一样平常会对暗码举办单向不行逆加密——哈希。
常见的方法是:
密文越长,在沟通呆板上,举办撞库耗损的时刻越长,相对越安详。
较量常见的哈希方法是 md5 + 盐,停止用户配置简朴暗码,被轻松破解。
password_hash
可是,此刻要保举的是 password_hash() 函数,可以轻松对暗码实现加盐加密,并且险些不能破解。
var_dump(password_hash($password,PASSWORD_DEFAULT));
var_dump(password_hash($password,PASSWORD_DEFAULT));
password_hash 天生的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有相关,会便是其他值,但不影响行使。
每一次 password_hash 运行功效都纷歧样,因此必要行使 password_verify 函数举办验证。
$hash = password_hash($password,PASSWORD_DEFAULT);
var_dump(password_verify($password,$hash));
password_hash 会把计较 hash 的全部参数都存储在 hash 功效中,可以行使 password_get_info 获取相干信息。
输出
int(1)
["algoName"]=>
string(6) "bcrypt"
["options"]=>
array(1) {
["cost"]=>
int(10)
}
}
留意:不包括 salt
可以看出我当前版本的 PHP 行使 PASSWORD_DEFAULT 现实是行使 PASSWORD_BCRYPT。
password_hash($password,$algo,$options) 的第三个参数 $options 支持配置至少 22 位的 salt。但如故凶猛保举行使 PHP 默认天生的 salt,不要主动配置 salt。
当要更腥蚊?算法和加密选项时,可以通过 password_needs_rehash 判定是否必要从头加密,下面的代码是一段官方示例
11);
// Verify stored hash against plain-text password
if (password_verify($password,$hash))
{
// Check if a newer hashing algorithm is available
// or the cost has changed
if (password_needs_rehash($hash,PASSWORD_DEFAULT,$options))
{
// If so,create a new hash,and replace the old one
$newHash = password_hash($password,$options);
}
// Log user in
}
password_needs_rehash 可以领略为较量 $algo + $option 和 password_get_info($hash) 返回值。
password_hash 运算慢
password_hash 是出了名的运行慢,也就意味着在沟通时刻内,暗码重试次数少,泄漏风险低落。
echo "n";
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
md5($password);
}
var_dump(microtime(true));
输出
float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)
password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个很是大致的较量,跟运行呆板有关,但也可以看出 password_hash 运行确实很是慢。
总结
以上就是这篇文章的所有内容了,但愿本文的内容对各人的进修可能事变能带来必然的辅佐,假若有疑问各人可以留言交换,感谢各人对编程之家的支持。 (编辑:湖南网)
【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
|
