PHP中的密码加密的解决方案总结


Posted in PHP onOctober 26, 2016

层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家“暴库”,全部遭殃

一般的解决方案。

1、将明文密码做单向hash

$password = md5($_POST["password"]);

2、密码+salt后做单向hash,PHP内置了hash()函数,你只需要将加密方式传给hash()函数就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式

<?php
 
function generateHashWithSalt($password) {
 $intermediateSalt = md5(uniqid(rand(), true));
 $salt = substr($intermediateSalt, 0, 6);
 return hash("sha256", $password . $salt);
}
?>

单向哈希算法有一个特性,无法通过哈希后的摘要(digest)恢复原始数据,常用的单向哈希算法包括SHA-256,SHA-1,MD5等。例如,对密码“passwordhunter”进 行SHA-256哈希后的摘要(digest)如下:
“bbed833d2c7805c4bf039b140bec7e7452125a04efa9e0b296395a9b95c2d44c”

注意:攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为rainbow table。更糟糕的是,一个攻击者只要建立上述的rainbow table,可以匹配所有的密码数据库。仍然等同于一家“暴库”,全部遭殃

比较好的解决方案

Bcrypt

<?php
function generateHash($password) {
 if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
  $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
  return crypt($password, $salt);
 }
}
?>

Bcrypt 其实就是Blowfish和crypt()函数的结合,我们这里通过CRYPT_BLOWFISH判断Blowfish是否可用,然后像上面一样生成一个盐值,不过这里需要注意的是,crypt()的盐值必须以2a2a或者2y2y开头,详细资料可以参考下面的链接:

http://www.php.net/security/crypt_blowfish.php

http://php.net/manual/en/function.crypt.php

Password Hashing API

Password Hashing API是PHP 5.5之后才有的新特性,它主要是提供下面几个函数供我们使用

password_hash() ? 对密码加密.
password_verify() ? 验证已经加密的密码,检验其hash字串是否一致.
password_needs_rehash() ? 给密码重新加密.
password_get_info() ? 返回加密算法的名称和一些相关信息.

虽然说crypt()函数在使用上已足够,但是password_hash()不仅可以使我们的代码更加简短,而且还在安全方面给了我们更好的保障,所以,现在PHP的官方都是推荐这种方式来加密用户的密码,很多流行的框架比如Laravel就是用的这种加密方式

<?php
$hash = password_hash($passwod, PASSWORD_DEFAULT);?>

PASSWORD_DEFAULT目前使用的就是Bcrypt,最好的还是Password Hashing API。这里需要注意的是,如果你代码使用的都是PASSWORD_DEFAULT加密方式,那么在数据库的表中,password字段就得设置超过60个字符长度,你也可以使用PASSWORD_BCRYPT,这个时候,加密后字串总是60个字符长度。

这里使用password_hash()你完全可以不提供盐值(salt)和 消耗值 (cost),你可以将后者理解为一种性能的消耗值,cost越大,加密算法越复杂,消耗的内存也就越大。当然,如果你需要指定对应的盐值和消耗值,你可以这样写

<?php
function custom_function_for_salt(){
 return $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
}
 
$password =123456;
 
$options = [
 'salt' => custom_function_for_salt(), //write your own code to generate a suitable salt
 'cost' => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);
echo $hash;
?>

密码加密过后,我们需要对密码进行验证,以此来判断用户输入的密码是否正确

<?php
if (password_verify($password, $hash)) {
 // Pass
}
else {
 // Invalid
}

直接使用password_verify就可以对我们之前加密过的字符串(存在数据库中)进行验证了

如果有时候我们需要更改我们的加密方式,如某一天我们突然想更换一下盐值或者提高一下消耗值,我们这时候就要使用到password_needs_rehash()函数了

<?php
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 12])) {
 // cost change to 12
 $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
 
 // don't forget to store the new hash!
}

只有这样,PHP的Password Hashing API才会知道我们重现更换了加密方式,这样的主要目的就是为了后面的密码验证,password_get_info(),这个函数一般可以看到下面三个信息

algo ? 算法实例
algoName ? 算法名字
options ? 加密时候的可选参数

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

PHP 相关文章推荐
一个简单的php实现的MySQL数据浏览器
Mar 11 PHP
学习discuz php 引入文件的方法DISCUZ_ROOT
Jun 21 PHP
php 404错误页面实现代码
Jun 22 PHP
php 过滤危险html代码
Jun 29 PHP
php面向对象全攻略 (八)重载新的方法
Sep 30 PHP
从康盛产品(discuz)提取出来的模板类
Jun 28 PHP
PHP中文件读、写、删的操作(PHP中对文件和目录操作)
Mar 06 PHP
解析php根据ip查询所在地区(非常有用,赶集网就用到)
Jul 01 PHP
实用的简单PHP分页集合包括使用方法
Oct 21 PHP
thinkPHP多语言切换设置方法详解
Nov 11 PHP
10个值得深思的PHP面试题
Nov 14 PHP
PHP http请求超时问题解决方案
Nov 13 PHP
php 解析xml 的四种方法详细介绍
Oct 26 #PHP
PHP 以POST方式提交XML、获取XML,解析XML详解及实例
Oct 26 #PHP
php 生成签名及验证签名详解
Oct 26 #PHP
PHP XML和数组互相转换详解
Oct 26 #PHP
PHP对XML内容进行修改和删除实例代码
Oct 26 #PHP
php array_merge_recursive 数组合并
Oct 26 #PHP
php抛出异常与捕捉特定类型的异常详解
Oct 26 #PHP
You might like
php 远程图片保存到本地的函数类
2008/12/08 PHP
php 字符转义 注意事项
2009/05/27 PHP
PHP实现生成唯一编号(36进制的不重复编号)
2014/07/01 PHP
php中cookie实现二级域名可访问操作的方法
2014/11/11 PHP
php判断两个日期之间相差多少个月份的方法
2015/06/18 PHP
简单谈谈PHP中的Reload操作
2016/12/12 PHP
phpMyAdmin通过密码漏洞留后门文件
2018/11/20 PHP
PHP超全局变量实现原理及代码解析
2020/09/01 PHP
jQuery基础知识filter()和find()实例说明
2010/07/06 Javascript
js 控制下拉菜单刷新的方法
2013/03/03 Javascript
javascript结合html5 canvas实现(可调画笔颜色/粗细/橡皮)的涂鸦板
2013/04/27 Javascript
利用cookie记住背景颜色示例代码
2013/11/04 Javascript
jQuery实现自动调整字体大小的方法
2015/06/15 Javascript
jQuery ajax分页插件实例代码
2016/01/27 Javascript
javascript中setAttribute兼容性用法分析
2016/12/12 Javascript
javascript 中select框触发事件过程的分析
2017/08/01 Javascript
js实现前端图片上传即时预览功能
2017/08/02 Javascript
JavaScript实现随机数生成器(去重)
2017/10/13 Javascript
利用jquery和BootStrap实现动态滚动条效果
2018/12/03 jQuery
从0到1搭建Element的后台框架的方法步骤
2019/04/10 Javascript
javascript实现简单打字游戏
2019/10/29 Javascript
微信小程序单选框自定义赋值
2020/05/26 Javascript
uni-app 自定义底部导航栏的实现
2020/12/11 Javascript
python读写csv文件方法详细总结
2019/07/05 Python
python 定时器每天就执行一次的实现代码
2019/08/14 Python
Python实现汇率转换操作
2020/05/03 Python
常用的10个Python实用小技巧
2020/08/10 Python
iHerb台湾:维生素、保健品和健康产品
2018/01/31 全球购物
联想西班牙官网:Lenovo西班牙
2018/08/28 全球购物
加油口号大全
2014/06/13 职场文书
中央空调节能方案
2014/06/15 职场文书
导航工程专业自荐信
2014/09/02 职场文书
单位租车协议书
2015/01/29 职场文书
社会实践活动总结格式
2015/05/11 职场文书
2015双创工作总结
2015/07/24 职场文书
redis 存储对象的方法对比分析
2021/08/02 Redis