PHP更安全的密码加密机制Bcrypt详解
这篇文章主要讲解的是PHP更安全的密码加密机制Bcrypt详解,文章内容非常详细,相信一定可以解决你的问题,需要的朋友可以参考下哦
前言
我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希。
常见的方式是:
| 哈希方式 | 加密密码 |
| md5(‘123456') | e10adc3949ba59abbe56e057f20f883e |
| md5(‘123456' . ($salt = ‘salt')) | 207acd61a3c1bd506d7e9a4535359f8a |
| sha1(‘123456') | 40位密文 |
| hash(‘sha256', ‘123456') | 64位密文 |
| hash(‘sha512', ‘123456') | 128位密文 |
密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。
比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。
password_hash
但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。
$password = '123456'; var_dump(password_hash($password, PASSWORD_DEFAULT)); var_dump(password_hash($password, PASSWORD_DEFAULT));
password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。
每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_verify($password, $hash));
password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_get_info($hash));
输出
array(3) {
["algo"]=>
int(1)
["algoName"]=>
string(6) "bcrypt"
["options"]=>
array(1) {
["cost"]=>
int(10)
}
}注意:不包含 salt
可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT。
password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。
当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例
$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
// Check if a newer hashing algorithm is available
// or the cost has changed
if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
{
// If so, create a new hash, and replace the old one
$newHash = password_hash($password, PASSWORD_DEFAULT, $options);
}
// Log user in
}password_needs_rehash 可以理解为比较 $algo + $option 和 password_get_info($hash) 返回值。
password_hash 运算慢
password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。
$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
echo "\n";
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
md5($password);
}
var_dump(microtime(true));输出
float(1495594920.7034) string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm" float(1495594920.7818) float(1495594920.7818) string(32) "e10adc3949ba59abbe56e057f20f883e" float(1495594920.7823)
password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对它帮你网的支持。
本文地址:https://www.tabangni.com/phpstudy/3171.html
查看更多与“加密PHPbcrypt”有关的文章
- 01-17PHP中基本符号及使用方法
- 01-14PHP count_chars()函数讲解
- 01-17PHP hex2bin()函数用法讲解
- 01-16PHP implode()函数用法讲解
- 01-15PHP lcfirst()函数定义与用法
- 01-15PHP join()函数用法与实例讲解
- 01-14PHP中quotemeta()函数的用法讲解
- 01-18PHP中number_format()函数的用法讲解
- 01-18PHP中str_split()函数的用法讲解
- 01-17一个正则的写法 php
- 01-16php 正则表达式学习笔记
- 01-17php下常用表单验证的正则表达式
- 01-15PHP 正则表达式分析RSS
- 01-16PHP 正则表达式验证中文的问题
- 01-18php中utf-8编码下用正则表达式如何匹配汉字
- 01-16PHP正则匹配图片并给图片加链接详解
- 01-17PHP 正则表达式的几则使用技巧
- 01-18PHP 正则表达式常用函数使用小结
- 01-18php 正则 不包含某字符串的正则表达式
- 01-18PHP 正则 email语句详解
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
| | |
推荐阅读
最近更新
- 01-19PHP更安全的密码加密机制Bcrypt详解
- 01-19小白细说HTML表格标记教程(26):单元格标记
- 01-19老牌技术员普及HTML中table表格标签的基础学习教程
- 01-19Canvas引入跨域的图片导致toDataURL()报错的问题的解决
- 01-19技术大牛阐述CSS实现DIV居中的三种方法
- 01-19高级技术员教您用CSS实现的图片透明度链接效果代码
- 01-19技术员说明css简单实现热点链接当鼠标悬停时出现白色的框
- 01-19php 文件夹删除、php清除缓存程序
- 01-19手把手讲说JavaScript 在各个浏览器中执行的耐性
- 01-19php获取数组中重复数据的两种方法