这里有新鲜出炉的 PHP 教程,程序狗速度看过来!
PHP(外文名: Hypertext Preprocessor,中文名:"超文本预处理器")是一种通用开源脚本语言。语法吸收了 C 语言、Java 和 Perl 的特点,入门门槛较低,易于学习,使用广泛,主要适用于 web 开发领域。PHP 的文件后缀名为 php。
很多用户多个网站使用一个密码,当一个密码丢失其他也遭殃,本篇文章介绍了 PHP 中的密码加密的解决方案总结,有需要的朋友可以了解一下。
层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家 "暴库",全部遭殃
一般的解决方案。
1、将明文密码做单向 hash
- $password = md5($_POST["password"]);
2、密码 + salt 后做单向 hash,PHP 内置了 hash() 函数,你只需要将加密方式传给 hash() 函数就好了。你可以直接指明 sha256, sha512, md5, sha1 等加密方式
- <?php
- function generateHashWithSalt($password) {
- $intermediateSalt = md5(uniqid(rand(), true));
- $salt = substr($intermediateSalt, 0, 6);
- return hash("sha256", $password . $salt);
- }
- ?>
单向哈希算法有一个特性,无法通过哈希后的摘要 (digest) 恢复原始数据,常用的单向哈希算法包括 SHA-256,SHA-1,MD5 等。例如,对密码 "passwordhunter" 进 行 SHA-256 哈希后的摘要 (digest) 如下:
"bbed833d2c7805c4bf039b140bec7e7452125a04efa9e0b296395a9b95c2d44c"
注意:攻击者可以将所有密码的常见组合进行单向哈希,得到一个摘要组合,然后与数据库中的摘要进行比对即可获得对应的密码。这个摘要组合也被称为 rainbow table。更糟糕的是,一个攻击者只要建立上述的 rainbow table,可以匹配所有的密码数据库。仍然等同于一家 "暴库",全部遭殃
比较好的解决方案
Bcrypt
- <?php
- function generateHash($password) {
- if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
- $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
- return crypt($password, $salt);
- }
- }
- ?>
Bcrypt 其实就是 Blowfish 和 crypt() 函数的结合,我们这里通过 CRYPT_BLOWFISH 判断 Blowfish 是否可用,然后像上面一样生成一个盐值,不过这里需要注意的是,crypt() 的盐值必须以 2a2a 或者 2y2y 开头,详细资料可以参考下面的链接:
http://www.php.net/security/crypt_blowfish.php
http://php.net/manual/en/function.crypt.php
Password Hashing API
Password Hashing API 是 PHP 5.5 之后才有的新特性,它主要是提供下面几个函数供我们使用
password_hash() – 对密码加密.
password_verify() – 验证已经加密的密码,检验其 hash 字串是否一致.
password_needs_rehash() – 给密码重新加密.
password_get_info() – 返回加密算法的名称和一些相关信息.
虽然说 crypt() 函数在使用上已足够,但是 password_hash() 不仅可以使我们的代码更加简短,而且还在安全方面给了我们更好的保障,所以,现在 PHP 的官方都是推荐这种方式来加密用户的密码,很多流行的框架比如 Laravel 就是用的这种加密方式
- <?php
- $hash = password_hash($passwod, PASSWORD_DEFAULT);?>
PASSWORD_DEFAULT 目前使用的就是 Bcrypt,最好的还是 Password Hashing API。这里需要注意的是,如果你代码使用的都是 PASSWORD_DEFAULT 加密方式,那么在数据库的表中,password 字段就得设置超过 60 个字符长度,你也可以使用 PASSWORD_BCRYPT,这个时候,加密后字串总是 60 个字符长度。
这里使用 password_hash()你完全可以不提供盐值 (salt) 和 消耗值 (cost),你可以将后者理解为一种性能的消耗值,cost 越大,加密算法越复杂,消耗的内存也就越大。当然,如果你需要指定对应的盐值和消耗值,你可以这样写
- <?php
- function custom_function_for_salt(){
- return $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
- }
- $password =123456;
- $options = [
- 'salt' => custom_function_for_salt(), //write your own code to generate a suitable salt
- 'cost' => 12 // the default cost is 10
- ];
- $hash = password_hash($password, PASSWORD_DEFAULT, $options);
- echo $hash;
- ?>
密码加密过后,我们需要对密码进行验证,以此来判断用户输入的密码是否正确
- <?php
- if (password_verify($password, $hash)) {
- // Pass
- }
- else {
- // Invalid
- }
直接使用 password_verify 就可以对我们之前加密过的字符串(存在数据库中)进行验证了
如果有时候我们需要更改我们的加密方式,如某一天我们突然想更换一下盐值或者提高一下消耗值,我们这时候就要使用到 password_needs_rehash() 函数了
- <?php
- if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' => 12])) {
- // cost change to 12
- $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
- // don't forget to store the new hash!
- }
只有这样,PHP 的 Password Hashing API 才会知道我们重现更换了加密方式,这样的主要目的就是为了后面的密码验证,password_get_info(),这个函数一般可以看到下面三个信息
algo – 算法实例
algoName – 算法名字
options – 加密时候的可选参数
来源: http://www.phperz.com/article/17/0812/341671.html