详解PHP处理密码的几种方式


Posted in PHP onNovember 30, 2016

在 PHP中,经常会对用户身份进行认证。本文意在讨论对密码的处理,也就是对密码的加密处理。

MD5

相信很多PHP开发者在最先接触PHP的时候,处理密码的首选加密函数可能就是MD5了,我当时就是这样的:

$password = md5($_POST["password"]);

上面这段代码是不是很熟悉?然而MD5的加密方式目前已经不太安全了,因为它的加密算法实在是显得有点简单了,而且很多破解密码的站点都存放了很多经过MD5加密的密码字符串,所以这里我是非常不提倡还在单单使用MD5来加密用户的密码的。

SHA256 和 SHA512

其实跟前面的MD5同期的还有一个SHA1加密方式的,不过也是算法比较简单,所以这里就不介绍了。而这里即将要说到的SHA256 和 SHA512都是来自于SHA2家族的加密函数,看名字可能你就猜的出来了,这两个加密方式分别生成256和512比特长度的 hash字串。

他们的使用方法如下:

$password = hash("sha256", $password);

PHP内置了hash()函数,你只需要将加密方式传给hash()函数就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。

盐值

在加密的过程,我们还有一个非常常见的东西:盐值。对,我们在加密的时候其实会给加密的字符串添加一个额外的字符串,以达到提高一定安全的目的,并且盐值要记录下来,方便以后的比对:

function generateHashWithSalt($password) {
  $intermediateSalt = md5(uniqid(rand(), true));
  $salt = substr($intermediateSalt, 0, 6); 
  return hash("sha256", $password . $salt);
}

Bcrypt

Bcrypt不失为一种比较不错的加密方式了,但是后面介绍的 Hashing API更好。

function generateHash($password) {
  if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
    $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
    return crypt($password, $salt);
  }
}

Bcrypt 其实就是Blowfish和crypt()函数的结合,我们这里通过CRYPT_BLOWFISH判断Blowfish是否可用,然后像上面一样生成一个盐值,不过这里需要注意的是,crypt()的盐值必须以 $2a$ 或者 $2y$ 开头。

Password Hashing API

这里才是我们的重头戏,Password Hashing API是PHP 5.5之后才有的新特性,它主要是提供下面几个函数供我们使用:

password_hash()     //对密码加密.
password_verify()    //验证已经加密的密码,检验其hash字串是否一致.
password_needs_rehash() //给密码重新加密.
password_get_info()   //返回加密算法的名称和一些相关信息.

使用这套 API不仅简单,而且更加安全,这也是 PHP官方推荐的加密方式。

$hash = password_hash($passwod, PASSWORD_DEFAULT);

PASSWORD_DEFAULT目前使用的就是Bcrypt加密算法,这里需要注意的是,如果你代码使用的都是PASSWORD_DEFAULT加密方式,那么在数据库的表中,password字段就得设置超过60个字符长度,你也可以使用PASSWORD_BCRYPT算法,该算法加密后的字符串长度总为60。

这里使用 password_hash()你完全可以不提供盐值(salt)和 消耗值 (cost),你可以将后者理解为一种性能的消耗值,cost越大,加密算法越复杂,消耗的内存也就越大。当然,如果你需要指定对应的盐值和消耗值,你可以这样写:

$options = [
  'salt' => custom_function_for_salt(), //自定义函数来获得盐值
  'cost' => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

不过一般自定义 cost就好了, salt值则使用默认的。

加密好后,只需要简单的使用即可验证密码是否正确

<?php
if (password_verify($password, $hash)) {
  // Pass
}
else {
  // Invalid
}

直接使用password_verify就可以对我们之前加密过的字符串(存在数据库中)进行验证了。

如果要更换更改加密的方式,则必须使用以下代码来重新加密:

if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 12])) {
  // cost 变为 12
  $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);

  // 然后重新保存 hash值
}

只有这样,PHP的 Password Hashing API才会知道我们重现更换了加密方式,这样才能完成之后的密码验证。

password_get_info(),这个函数一般可以看到下面三个信息:

1、algo ? 算法实例

2、algoName ? 算法名字

3、options ? 加密时候的可选参数

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

PHP 相关文章推荐
在Zeus Web Server中安装PHP语言支持
Oct 09 PHP
PHP 常用函数库和一些实用小技巧
Jan 01 PHP
php DOS攻击实现代码(附如何防范)
May 29 PHP
php中拷贝构造函数、赋值运算符重载
Jul 25 PHP
php使用百度翻译api示例分享
Jan 31 PHP
教大家制作简单的php日历
Nov 17 PHP
ThinkPHP 3.2.2实现事务操作的方法
May 05 PHP
万能的php分页类
Jul 06 PHP
laravel 获取当前url的别名方法
Oct 11 PHP
php+js实现的拖动滑块验证码验证表单操作示例【附源码下载】
May 27 PHP
关于Anemometer图形化显示MySQL慢日志的工具搭建及使用的详细介绍
Jul 13 PHP
PHP 99乘法表的几种实现代码
Oct 13 PHP
php+js实现百度地图多点标注的方法
Nov 30 #PHP
php 运算符与表达式详细介绍
Nov 30 #PHP
PHP AjaxForm提交图片上传并显示图片源码
Nov 29 #PHP
php判断是否为ajax请求的方法
Nov 29 #PHP
PHP判断文件是否被引入的方法get_included_files用法示例
Nov 29 #PHP
php获取开始与结束日期之间所有日期的方法
Nov 29 #PHP
PHP精确计算功能示例
Nov 29 #PHP
You might like
解析php中static,const与define的使用区别
2013/06/18 PHP
PHP连接SQLServer2005方法及代码
2013/12/26 PHP
php上传图片到指定位置路径保存到数据库的具体实现
2013/12/30 PHP
php类常量用法实例分析
2015/07/09 PHP
微信 getAccessToken方法详解及实例
2016/11/23 PHP
PHP批量修改文件名称的方法分析
2017/02/27 PHP
PHP实现的字符串匹配算法示例【sunday算法】
2017/12/19 PHP
PHP读取并输出XML文件数据的简单实现方法
2017/12/22 PHP
js下利用控制器载入对应脚本
2010/07/17 Javascript
jQuery EasyUI API 中文文档 - Calendar日历使用
2011/10/19 Javascript
Prototype源码浅析 String部分(四)之补充
2012/01/16 Javascript
jquery删除提示框弹出是否删除对话框
2014/01/07 Javascript
JavaScript判断是否为数组的3种方法及效率比较
2015/04/01 Javascript
JS使用parseInt解析数字实现求和的方法
2015/08/05 Javascript
Bootstrap基本组件学习笔记之按钮组(8)
2016/12/07 Javascript
jQuery按需加载轮播图(web前端性能优化)
2017/02/17 Javascript
从零开始学习Node.js系列教程五:服务器监听方法示例
2017/04/13 Javascript
vue的style绑定background-image的方式和其他变量数据的区别详解
2018/09/03 Javascript
[01:25:33]完美世界DOTA2联赛PWL S3 INK ICE vs Magma 第二场 12.20
2020/12/23 DOTA
Python中的特殊语法:filter、map、reduce、lambda介绍
2015/04/14 Python
Python numpy 常用函数总结
2017/12/07 Python
django进阶之cookie和session的使用示例
2018/08/17 Python
快速解决vue.js 模板和jinja 模板冲突的问题
2019/07/26 Python
python numpy之np.random的随机数函数使用介绍
2019/10/06 Python
使用Pyhton集合set()实现成果查漏的例子
2019/11/24 Python
Python3.9 beta2版本发布了,看看这7个新的PEP都是什么
2020/06/10 Python
优秀中专生推荐信
2013/11/17 职场文书
设计师求职信模板
2014/05/06 职场文书
机关保密承诺书
2014/06/03 职场文书
工伤死亡理赔协议书
2014/10/20 职场文书
先进个人评语大全
2015/01/04 职场文书
售后前台接待岗位职责
2015/04/03 职场文书
2015年导购员工作总结
2015/04/25 职场文书
2016大学军训通讯稿
2015/11/25 职场文书
2019学校请假条格式及范文
2019/06/25 职场文书
我的暑假生活作文(五年级)范文
2019/08/07 职场文书