PHP中的密码加密的解决方案总结


Posted in PHP onOctober 26, 2016

层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃

一般的解决方案。

1、将明文密码做单向hash

$password = md5($_POST["password"]);

2、密码+salt后做单向hash,PHP内置了hash()函数,你只需要将加密方式传给hash()函数就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式

<?php
 
function generateHashWithSalt($password) {
 $intermediateSalt = md5(uniqid(rand(), true));
 $salt = substr($intermediateSalt, 0, 6);
 return hash("sha256", $password . $salt);
}
?>

单向哈希算法有一个特性,无法通过哈希后的摘要(digest)恢复原始数据,常用的单向哈希算法包括SHA-256,SHA-1,MD5等。例如,对密码“passwordhunter”进 行SHA-256哈希后的摘要(digest)如下:
“bbed833d2c7805c4bf039b140bec7e7452125a04efa9e0b296395a9b95c2d44c”

注意:攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为rainbow table。更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家“暴库”,全部遭殃

比较好的解决方案

Bcrypt

<?php
function generateHash($password) {
 if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
  $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
  return crypt($password, $salt);
 }
}
?>

Bcrypt 其实就是Blowfish和crypt()函数的结合,我们这里通过CRYPT_BLOWFISH判断Blowfish是否可用,然后像上面一样生成一个盐值,不过这里需要注意的是,crypt()的盐值必须以2a2a或者2y2y开头,详细资料可以参考下面的链接:

http://www.php.net/security/crypt_blowfish.php

http://php.net/manual/en/function.crypt.php

Password Hashing API

Password Hashing API是PHP 5.5之后才有的新特性,它主要是提供下面几个函数供我们使用

password_hash() ? 对密码加密.
password_verify() ? 验证已经加密的密码,检验其hash字串是否一致.
password_needs_rehash() ? 给密码重新加密.
password_get_info() ? 返回加密算法的名称和一些相关信息.

虽然说crypt()函数在使用上已足够,但是password_hash()不仅可以使我们的代码更加简短,而且还在安全方面给了我们更好的保障,所以,现在PHP的官方都是推荐这种方式来加密用户的密码,很多流行的框架比如Laravel就是用的这种加密方式

<?php
$hash = password_hash($passwod, PASSWORD_DEFAULT);?>

PASSWORD_DEFAULT目前使用的就是Bcrypt,最好的还是Password Hashing API。这里需要注意的是,如果你代码使用的都是PASSWORD_DEFAULT加密方式,那么在数据库的表中,password字段就得设置超过60个字符长度,你也可以使用PASSWORD_BCRYPT,这个时候,加密后字串总是60个字符长度。

这里使用password_hash()你完全可以不提供盐值(salt)和 消耗值 (cost),你可以将后者理解为一种性能的消耗值,cost越大,加密算法越复杂,消耗的内存也就越大。当然,如果你需要指定对应的盐值和消耗值,你可以这样写

<?php
function custom_function_for_salt(){
 return $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
}
 
$password =123456;
 
$options = [
 'salt' => custom_function_for_salt(), //write your own code to generate a suitable salt
 'cost' => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);
echo $hash;
?>

密码加密过后,我们需要对密码进行验证,以此来判断用户输入的密码是否正确

<?php
if (password_verify($password, $hash)) {
 // Pass
}
else {
 // Invalid
}

直接使用password_verify就可以对我们之前加密过的字符串(存在数据库中)进行验证了

如果有时候我们需要更改我们的加密方式,如某一天我们突然想更换一下盐值或者提高一下消耗值,我们这时候就要使用到password_needs_rehash()函数了

<?php
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 12])) {
 // cost change to 12
 $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
 
 // don't forget to store the new hash!
}

只有这样,PHP的Password Hashing API才会知道我们重现更换了加密方式,这样的主要目的就是为了后面的密码验证,password_get_info(),这个函数一般可以看到下面三个信息

algo ? 算法实例
algoName ? 算法名字
options ? 加密时候的可选参数

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

PHP 相关文章推荐
用PHP创建PDF中文文档
Oct 09 PHP
PHP 错误之引号中使用变量
May 04 PHP
php提交表单时判断 if($_POST[submit])与 if(isset($_POST[submit])) 的区别
Feb 08 PHP
理解和运用PHP中的多态性[译]
Aug 02 PHP
php文件上传的简单实例
Oct 19 PHP
php之curl设置超时实例
Nov 03 PHP
thinkPHP实现瀑布流的方法
Nov 29 PHP
php实现将wav文件转换成图像文件并在页面中显示的方法
Apr 21 PHP
PHP框架Laravel学习心得体会
Oct 28 PHP
yii2实现根据时间搜索的方法
May 25 PHP
php如何实现不借助IDE快速定位行数或者方法定义的文件和位置
Jan 17 PHP
laravel实现Auth认证,登录、注册后的页面回跳方法
Sep 30 PHP
php 解析xml 的四种方法详细介绍
Oct 26 #PHP
PHP 以POST方式提交XML、获取XML,解析XML详解及实例
Oct 26 #PHP
php 生成签名及验证签名详解
Oct 26 #PHP
PHP XML和数组互相转换详解
Oct 26 #PHP
PHP对XML内容进行修改和删除实例代码
Oct 26 #PHP
php array_merge_recursive 数组合并
Oct 26 #PHP
php抛出异常与捕捉特定类型的异常详解
Oct 26 #PHP
You might like
PHP 字符串 小常识
2009/06/05 PHP
7个鲜为人知却非常实用的PHP函数
2015/07/01 PHP
PHP实现的简单sha1加密功能示例
2017/08/27 PHP
laravel框架之数据库查出来的对象实现转化为数组
2019/10/23 PHP
js动态为代码着色显示行号
2013/05/29 Javascript
js实现三张图(文)片一起切换的banner焦点图
2015/08/25 Javascript
使用jquery插件qrcode生成二维码
2015/10/22 Javascript
javascript中对Date类型的常用操作小结
2016/05/19 Javascript
后端接收不到AngularJs中$http.post发送的数据原因分析及解决办法
2016/07/05 Javascript
微信小程序 scroll-view组件实现列表页实例代码
2016/12/14 Javascript
Vue动态组件实例解析
2017/08/20 Javascript
JavaScript实现换肤功能
2017/09/15 Javascript
vue+swiper实现侧滑菜单效果
2017/12/28 Javascript
解决微信小程序云开发中获取数据库的内容为空的方法
2019/05/15 Javascript
微信小程序下拉加载和上拉刷新两种实现方法详解
2019/09/05 Javascript
JavaScript中的全局属性与方法深入解析
2020/06/14 Javascript
Python学习笔记之常用函数及说明
2014/05/23 Python
浅谈python jieba分词模块的基本用法
2017/11/09 Python
jupyter notebook 多环境conda kernel配置方式
2020/04/10 Python
Python ADF 单位根检验 如何查看结果的实现
2020/06/03 Python
Python魔术方法专题
2020/06/19 Python
python time()的实例用法
2020/11/03 Python
python使用正则表达式匹配txt特定字符串(有换行)
2020/12/09 Python
使用Python+Appuim 清理微信的方法
2021/01/26 Python
THE OUTNET英国官网:国际设计师品牌折扣网站
2016/08/14 全球购物
Myprotein台湾官方网站:全球领先的运动营养品牌
2018/12/10 全球购物
serialVersionUID具有什么样的特征
2014/02/20 面试题
J2ee常用的设计模式?说明工厂模式
2015/05/21 面试题
大学生的网络创业计划书
2013/12/26 职场文书
产品发布会策划方案
2014/05/12 职场文书
django注册用邮箱发送验证码的实现
2021/04/18 Python
python程序的组织结构详解
2021/12/06 Python
使用 Apache 反向代理的设置技巧
2022/01/18 Servers
MySQL数据库⾼可⽤HA实现小结
2022/01/22 MySQL
vue使用echarts实现折线图
2022/03/21 Vue.js
微信小程序APP的生命周期及页面的生命周期
2022/04/19 Javascript