PHP中的密码加密的解决方案总结


Posted in PHP onOctober 26, 2016

层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃

一般的解决方案。

1、将明文密码做单向hash

$password = md5($_POST["password"]);

2、密码+salt后做单向hash,PHP内置了hash()函数,你只需要将加密方式传给hash()函数就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式

<?php
 
function generateHashWithSalt($password) {
 $intermediateSalt = md5(uniqid(rand(), true));
 $salt = substr($intermediateSalt, 0, 6);
 return hash("sha256", $password . $salt);
}
?>

单向哈希算法有一个特性,无法通过哈希后的摘要(digest)恢复原始数据,常用的单向哈希算法包括SHA-256,SHA-1,MD5等。例如,对密码“passwordhunter”进 行SHA-256哈希后的摘要(digest)如下:
“bbed833d2c7805c4bf039b140bec7e7452125a04efa9e0b296395a9b95c2d44c”

注意:攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为rainbow table。更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家“暴库”,全部遭殃

比较好的解决方案

Bcrypt

<?php
function generateHash($password) {
 if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
  $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
  return crypt($password, $salt);
 }
}
?>

Bcrypt 其实就是Blowfish和crypt()函数的结合,我们这里通过CRYPT_BLOWFISH判断Blowfish是否可用,然后像上面一样生成一个盐值,不过这里需要注意的是,crypt()的盐值必须以2a2a或者2y2y开头,详细资料可以参考下面的链接:

http://www.php.net/security/crypt_blowfish.php

http://php.net/manual/en/function.crypt.php

Password Hashing API

Password Hashing API是PHP 5.5之后才有的新特性,它主要是提供下面几个函数供我们使用

password_hash() ? 对密码加密.
password_verify() ? 验证已经加密的密码,检验其hash字串是否一致.
password_needs_rehash() ? 给密码重新加密.
password_get_info() ? 返回加密算法的名称和一些相关信息.

虽然说crypt()函数在使用上已足够,但是password_hash()不仅可以使我们的代码更加简短,而且还在安全方面给了我们更好的保障,所以,现在PHP的官方都是推荐这种方式来加密用户的密码,很多流行的框架比如Laravel就是用的这种加密方式

<?php
$hash = password_hash($passwod, PASSWORD_DEFAULT);?>

PASSWORD_DEFAULT目前使用的就是Bcrypt,最好的还是Password Hashing API。这里需要注意的是,如果你代码使用的都是PASSWORD_DEFAULT加密方式,那么在数据库的表中,password字段就得设置超过60个字符长度,你也可以使用PASSWORD_BCRYPT,这个时候,加密后字串总是60个字符长度。

这里使用password_hash()你完全可以不提供盐值(salt)和 消耗值 (cost),你可以将后者理解为一种性能的消耗值,cost越大,加密算法越复杂,消耗的内存也就越大。当然,如果你需要指定对应的盐值和消耗值,你可以这样写

<?php
function custom_function_for_salt(){
 return $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
}
 
$password =123456;
 
$options = [
 'salt' => custom_function_for_salt(), //write your own code to generate a suitable salt
 'cost' => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);
echo $hash;
?>

密码加密过后,我们需要对密码进行验证,以此来判断用户输入的密码是否正确

<?php
if (password_verify($password, $hash)) {
 // Pass
}
else {
 // Invalid
}

直接使用password_verify就可以对我们之前加密过的字符串(存在数据库中)进行验证了

如果有时候我们需要更改我们的加密方式,如某一天我们突然想更换一下盐值或者提高一下消耗值,我们这时候就要使用到password_needs_rehash()函数了

<?php
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 12])) {
 // cost change to 12
 $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
 
 // don't forget to store the new hash!
}

只有这样,PHP的Password Hashing API才会知道我们重现更换了加密方式,这样的主要目的就是为了后面的密码验证,password_get_info(),这个函数一般可以看到下面三个信息

algo ? 算法实例
algoName ? 算法名字
options ? 加密时候的可选参数

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

PHP 相关文章推荐
一个PHP缓存类代码(附详细说明)
Jun 09 PHP
php页面消耗内存过大的处理办法
Mar 18 PHP
解析PHP SPL标准库的用法(遍历目录,查找固定条件的文件)
Jun 18 PHP
PHP中new static() 和 new self() 的区别介绍
Jan 09 PHP
php备份数据库类分享
Apr 14 PHP
php实现向javascript传递数组的方法
Jul 27 PHP
php中二分法查找算法实例分析
Sep 22 PHP
mysql alter table命令修改表结构实例详解
Sep 24 PHP
PHP面向对象程序设计之类与反射API详解
Dec 02 PHP
关于PHP虚拟主机概念及如何选择稳定的PHP虚拟主机
Nov 20 PHP
PHP匿名函数(闭包函数)详解
Mar 22 PHP
用Laravel轻松处理千万级数据的方法实现
Dec 25 PHP
php 解析xml 的四种方法详细介绍
Oct 26 #PHP
PHP 以POST方式提交XML、获取XML,解析XML详解及实例
Oct 26 #PHP
php 生成签名及验证签名详解
Oct 26 #PHP
PHP XML和数组互相转换详解
Oct 26 #PHP
PHP对XML内容进行修改和删除实例代码
Oct 26 #PHP
php array_merge_recursive 数组合并
Oct 26 #PHP
php抛出异常与捕捉特定类型的异常详解
Oct 26 #PHP
You might like
定制404错误页面,并发信给管理员的程序
2006/10/09 PHP
PHP 如何向 MySQL 发送数据
2006/10/09 PHP
shell脚本作为保证PHP脚本不挂掉的守护进程实例分享
2013/07/15 PHP
微信公众平台之快递查询功能用法实例
2015/04/14 PHP
php+mysql实现的二级联动菜单效果详解
2016/05/10 PHP
PHP仿微信发红包领红包效果
2016/10/30 PHP
PHP对象相关知识总结
2017/04/09 PHP
详解关于php的xdebug配置(编辑器vscode)
2019/01/29 PHP
解决laravel 出现ajax请求419(unknown status)的问题
2019/09/03 PHP
thinkphp5 框架结合plupload实现图片批量上传功能示例
2020/04/04 PHP
超级简单的图片防盗(HTML),好用
2007/04/08 Javascript
用javascript实现画板的代码
2007/09/05 Javascript
js Canvas实现的日历时钟案例分享
2016/12/25 Javascript
JS触摸与手势事件详解
2017/05/09 Javascript
js学习总结之DOM2兼容处理重复问题的解决方法
2017/07/27 Javascript
AngularJs 延时器、计时器实例代码
2017/09/16 Javascript
Vue仿今日头条实例详解
2018/02/06 Javascript
单利模式及python实现方式详解
2018/03/20 Python
Python使用OpenCV进行标定
2018/05/08 Python
Python在for循环中更改list值的方法【推荐】
2018/08/17 Python
python 划分数据集为训练集和测试集的方法
2018/12/11 Python
Django model反向关联名称的方法
2018/12/15 Python
对Python 获取类的成员变量及临时变量的方法详解
2019/01/22 Python
wxpython布局的实现方法
2019/11/01 Python
Python如何使用BeautifulSoup爬取网页信息
2019/11/26 Python
python psutil监控进程实例
2019/12/17 Python
Python unittest基本使用方法代码实例
2020/06/29 Python
opencv 图像腐蚀和图像膨胀的实现
2020/07/07 Python
python使用requests库爬取拉勾网招聘信息的实现
2020/11/20 Python
python实现excel公式格式化的示例代码
2020/12/23 Python
HTML5手机端弹出遮罩菜单特效代码
2016/01/27 HTML / CSS
Java中的类包括什么内容?设计时要注意哪些方面
2012/05/23 面试题
黄河象教学反思
2014/02/10 职场文书
学校个人对照检查材料
2014/08/26 职场文书
搞笑结婚保证书
2015/05/08 职场文书
毕业生自荐求职信书写的技巧
2019/08/26 职场文书