PHP之密码加密的几种方式


Posted in PHP onJuly 29, 2015

PHP开发WEB应用程序,经常会完成用户注册信息,注册信息里面包括邮箱和密码的验证问题,这篇文章主要是针对密码加密的技师方式。

MD5

相信很多PHP开发者在最先接触PHP的时候,处理密码的首选加密函数可能就是MD5了,我当时就是这样的:

$password = md5($_POST["password"]);

上面这段代码是不是很熟悉?然而MD5的加密方式目前在PHP的江湖中貌似不太受欢迎了,因为它的加密算法实在是显得有点简单了,而且很多破解密码的站点都存放了很多经过MD5加密的密码字符串,所以这里我是非常不提倡还在单单使用MD5来加密用户的密码的。

SHA256 和 SHA512

其实跟前面的MD5同期的还有一个SHA1加密方式的,不过也是算法比较简单,所以这里就一笔带过吧。而这里即将要说到的 SHA256 和 SHA512 都是来自于SHA2家族的加密函数,看名字可能你就猜的出来了,这两个加密方式分别生成256和512比特长度的hash字串。

他们的使用方法如下:

<?php

$password = hash("sha256", $password);

PHP内置了 hash() 函数,你只需要将加密方式传给 hash() 函数就好了。你可以直接指明 sha256 , sha512 , md5 , sha1 等加密方式。

盐值

在加密的过程,我们还有一个非常常见的小伙伴:盐值。对,我们在加密的时候其实会给加密的字符串添加一个额外的字符串,以达到提高一定安全的目的:

<?php

function generateHashWithSalt($password) {

  $intermediateSalt = md5(uniqid(rand(), true));

  $salt = substr($intermediateSalt, 0, 6);

  return hash("sha256", $password . $salt);

}

Bcrypt

如果让我来建议一种加密方式的话, Bcrypt 可能是我给你推荐的最低要求了,因为我会强烈推荐你后面会说到的 Hashing API ,不过 Bcrypt 也不失为一种比较不错的加密方式了。

<?php

function generateHash($password) {

  if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {

    $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);

    return crypt($password, $salt);

  }

}

Bcrypt 其实就是 Blowfish crypt() 函数的结合,我们这里通过 CRYPT_BLOWFISH 判断 Blowfish 是否可用,然后像上面一样生成一个盐值,不过这里需要注意的是, crypt() 的盐值必须以 $2a$ 或者 $2y$ 开头,详细资料可以参考下面的链接:

http://www.php.net/security/crypt_blowfish.php

更多资料可以看这里:

http://php.net/manual/en/function.crypt.php

Password Hashing API

这里才是我们的重头戏, Password Hashing API PHP 5.5之后才有的新特性,它主要是提供下面几个函数供我们使用:

password_hash() ? 对密码加密.

password_verify() ? 验证已经加密的密码,检验其hash字串是否一致.

password_needs_rehash() ? 给密码重新加密.

password_get_info() ? 返回加密算法的名称和一些相关信息.

虽然说 crypt() 函数在使用上已足够,但是 password_hash() 不仅可以使我们的代码更加简短,而且还在安全方面给了我们更好的保障,所以,现在PHP的官方都是推荐这种方式来加密用户的密码,很多流行的框架比如 Laravel 就是用的这种加密方式。

<?php

$hash = password_hash($passwod, PASSWORD_DEFAULT);

对,就是这么简单,一行代码,All done。

PASSWORD_DEFAULT 目前使用的就是 Bcrypt ,所以在上面我会说推荐这个,不过因为 Password Hashing API 做得更好了,我必须郑重地想你推荐 Password Hashing API 。这里需要注意的是,如果你代码使用的都是 PASSWORD_DEFAULT 加密方式,那么在数据库的表中,password字段就得设置超过60个字符长度,你也可以使用 PASSWORD_BCRYPT ,这个时候,加密后字串总是60个字符长度。

这里使用 password_hash() 你完全可以不提供盐值 (salt) 和 消耗值 (cost) ,你可以将后者理解为一种性能的消耗值, cost 越大,加密算法越复杂,消耗的内存也就越大。当然,如果你需要指定对应的盐值和消耗值,你可以这样写:

<?php
$options = [
 'salt' => custom_function_for_salt(), //write your own code to generate a suitable salt
 'cost' => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

密码加密过后,我们需要对密码进行验证,以此来判断用户输入的密码是否正确:

<?php
if (password_verify($password, $hash)) {
 // Pass
}
else {
 // Invalid
}

很简单的吧,直接使用 password_verify 就可以对我们之前加密过的字符串(存在数据库中)进行验证了。

然而,如果有时候我们需要更改我们的加密方式,如某一天我们突然想更换一下盐值或者提高一下消耗值,我们这时候就要使用到 password_needs_rehash() 函数了:

<?php
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 12])) {
 // cost change to 12
 $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
 // don't forget to store the new hash!
}

只有这样,PHP的 Password Hashing API 才会知道我们重现更换了加密方式,这样的主要目的就是为了后面的密码验证。

简单地说一下 password_get_info() ,这个函数一般可以看到下面三个信息:

algo ? 算法实例
algoName ? 算法名字
options ? 加密时候的可选参数

通过以上内容的介绍,个人建议PHP5.5版本用起来比较好用。希望大家喜欢以上内容所述。

PHP 相关文章推荐
php相当简单的分页类
Oct 02 PHP
ubuntu 编译安装php 5.3.3+memcache的方法
Aug 05 PHP
PHP 日,周,月点击排行统计
Jan 11 PHP
浅析PHP的ASCII码转换类
Jul 05 PHP
为PHP5.4开启Zend OPCode缓存
Dec 26 PHP
php抽象方法和抽象类实例分析
Dec 07 PHP
PHP实现获取毫秒时间戳的方法【使用microtime()函数】
Mar 01 PHP
PHP添加文字水印或图片水印的水印类完整源代码与使用示例
Mar 18 PHP
使用laravel和ECharts实现折线图效果的例子
Oct 09 PHP
php实现将数组或对象写入到文件的方法小结【三种方法】
Apr 22 PHP
PHP如何开启Opcache功能提升程序处理效率
Apr 27 PHP
php输出形式实例整理
May 05 PHP
PHP实现仿Google分页效果的分页函数
Jul 29 #PHP
PHP如何将log信息写入服务器中的log文件
Jul 29 #PHP
再Docker中架设完整的WordPress站点全攻略
Jul 29 #PHP
php去掉文件前几行的方法
Jul 29 #PHP
PHP实现的简单网络硬盘
Jul 29 #PHP
PHP简单生成缩略图相册的方法
Jul 29 #PHP
PHP之预定义接口详解
Jul 29 #PHP
You might like
如何取得中文字符串中出现次数最多的子串
2013/08/08 PHP
PHP中preg_match正则匹配中的/u、/i、/s含义
2015/04/17 PHP
利用Fix Rss Feeds插件修复WordPress的Feed显示错误
2015/12/19 PHP
PHP Header用于页面跳转时的几个注意事项
2016/10/21 PHP
PHP上传图片到数据库并显示的实例代码
2019/12/20 PHP
JavaScript 面向对象的之私有成员和公开成员
2010/05/04 Javascript
javascript 使用 NodeList需要注意的问题
2013/03/04 Javascript
js中事件的处理与浏览器对象示例介绍
2013/11/29 Javascript
关于js内存泄露的一个好例子
2013/12/09 Javascript
javaScript语法总结
2016/11/25 Javascript
jQuery源码分析之sizzle选择器详解
2017/02/13 Javascript
react-redux中connect()方法详细解析
2017/05/27 Javascript
mui上拉加载更多下拉刷新数据的封装过程
2017/11/03 Javascript
Angular实现较为复杂的表格过滤,删除功能示例
2017/12/23 Javascript
webpack引入eslint配置详解
2018/01/22 Javascript
使用webpack打包koa2 框架app
2018/02/02 Javascript
浅谈React高阶组件
2018/03/28 Javascript
详解关于Vue版本不匹配问题(Vue packages version mismatch)
2018/09/17 Javascript
vue服务端渲染页面缓存和组件缓存的实例详解
2018/09/18 Javascript
JavaScript错误处理操作实例详解
2019/01/04 Javascript
Python实现将doc转化pdf格式文档的方法
2018/01/19 Python
图解Python变量与赋值
2018/04/03 Python
python 中字典嵌套列表的方法
2018/07/03 Python
Python3 SSH远程连接服务器的方法示例
2018/12/29 Python
Flask框架钩子函数功能与用法分析
2019/08/02 Python
浅谈pytorch torch.backends.cudnn设置作用
2020/02/20 Python
Python简单实现词云图代码及步骤解析
2020/06/04 Python
html5视频常用API接口的实战示例
2020/03/20 HTML / CSS
华为慧通面试题
2012/09/11 面试题
汽车技术服务英文求职信范文
2014/01/02 职场文书
青春励志演讲稿
2014/04/29 职场文书
十八大标语口号
2014/10/09 职场文书
大学生违纪检讨书300字
2014/10/25 职场文书
大学学生个人总结
2015/02/15 职场文书
大学生活感想
2015/08/10 职场文书
jquery插件实现代码雨特效
2021/04/24 jQuery