PHP更安全的密码加密机制Bcrypt详解
前言
我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希。
常见的方式是:
哈希方式 | 加密密码 |
md5(‘123456') | e10adc3949ba59abbe56e057f20f883e |
md5(‘123456' . ($salt = ‘salt')) | 207acd61a3c1bd506d7e9a4535359f8a |
sha1(‘123456') | 40位密文 |
hash(‘sha256', ‘123456') | 64位密文 |
hash(‘sha512', ‘123456') | 128位密文 |
密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。
比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。
password_hash
但是,现在要推荐的是 password_hash()
函数,可以轻松对密码实现加盐加密,而且几乎不能破解。
$password = '123456'; var_dump(password_hash($password, PASSWORD_DEFAULT)); var_dump(password_hash($password, PASSWORD_DEFAULT));
password_hash
生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。
每一次 password_hash
运行结果都不一样,因此需要使用 password_verify
函数进行验证。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_verify($password, $hash));
password_hash
会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info
获取相关信息。
$password = '123456'; $hash = password_hash($password, PASSWORD_DEFAULT); var_dump(password_get_info($hash));
输出
array(3) { ["algo"]=> int(1) ["algoName"]=> string(6) "bcrypt" ["options"]=> array(1) { ["cost"]=> int(10) } }
注意:不包含 salt
可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT
实际是使用 PASSWORD_BCRYPT
。
password_hash($password, $algo, $options)
的第三个参数 $options
支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。
当要更新加密算法和加密选项时,可以通过 password_needs_rehash
判断是否需要重新加密,下面的代码是一段官方示例
$options = array('cost' => 11); // Verify stored hash against plain-text password if (password_verify($password, $hash)) { // Check if a newer hashing algorithm is available // or the cost has changed if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) { // If so, create a new hash, and replace the old one $newHash = password_hash($password, PASSWORD_DEFAULT, $options); } // Log user in }
password_needs_rehash
可以理解为比较 $algo
+ $option
和 password_get_info($hash)
返回值。
password_hash 运算慢
password_hash
是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。
$password = '123456'; var_dump(microtime(true)); var_dump(password_hash($password, PASSWORD_DEFAULT)); var_dump(microtime(true)); echo "\n"; var_dump(microtime(true)); var_dump(md5($password)); for ($i = 0; $i < 999; $i++) { md5($password); } var_dump(microtime(true));
输出
float(1495594920.7034) string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm" float(1495594920.7818) float(1495594920.7818) string(32) "e10adc3949ba59abbe56e057f20f883e" float(1495594920.7823)
password_hash
运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash
运行确实非常慢。
总结
以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。
相关文章
- 这篇文章主要介绍了golang与php实现计算两个经纬度之间距离的方法,结合实例形式对比分析了Go语言与php进行经纬度计算的相关数学运算技巧,需要的朋友可以参考下...2016-07-29
- 这篇文章主要介绍了隐藏Nginx或Apache以及PHP的版本号的方法,主要用来防止针对性的漏洞攻击,需要的朋友可以参考下...2016-01-05
- 这篇文章主要介绍了基于命令行执行带参数的php脚本并取得参数的方法,分析了命令行运行PHP代码的原理、用法与相关注意事项,需要的朋友可以参考下...2016-01-26
- 这篇文章主要介绍了jQuery+PHP+MySQL实现无限级联效果的相关资料,具有一定的参考价值,感兴趣的小伙伴们可以参考一下...2016-02-21
- 这篇文章主要介绍了WordPress中用于检索模版的相关PHP函数使用解析,包括索模板的函数的使用,要的朋友可以参考下...2015-12-17
个人网站留言页面(前端jQuery编写、后台php读写MySQL)
这篇文章主要为大家介绍了个人网站的留言页面,前端使用jQuery编写、后台利用php简单读写MySQL数据库,感兴趣的小伙伴们可以参考一下...2016-05-05- 现在很多开发者都使用Vagrant来管理他们的虚拟机开发环境,Vagrant确实很酷, 不过也有不少缺点(最主要的是它占用太多的资源)。在容器技术、Docker和更多类Docker技术出现后,解决这个问题就变得简单了。这篇文章主要介绍了Docker配置PHP开发环境,下面来一起看看吧。...2017-01-08
- 这篇文章主要介绍了如何在PHP的Yii框架中进行错误和异常处理的实例,重点讲解了使用错误处理器的方法,需要的朋友可以参考下...2016-03-21
在Mac OS的PHP环境下安装配置MemCache的全过程解析
这篇文章主要介绍了在Mac OS的PHP环境下安装配置MemCache的全过程解析,MemCache是一套分布式的高速缓存系统,需要的朋友可以参考下...2016-02-18- 这篇文章主要介绍了golang与PHP输出excel的方法,结合实例形式对比分析了Go语言及php输出Excel文件的相关技巧,需要的朋友可以参考下...2016-07-29
- 最近突发奇想要往数据库里保存一些机密的东西,然后就想着怎么让别人即使进入到了数据库也看不懂存储的是什么,那么只有加密了;可是我们自己还要看呢,那只能找一些对称加密的算法了,我们想看的时候再解密回来。下面就介绍了php中简单的对称加密算法实现。...2017-01-15
- 这篇文章主要介绍了Nginx配合php实现生成实时缩略图功能,这在一些特殊场合可能会要用到,需要的朋友可以参考下...2016-01-27
- 数据表之间是纵横交叉、相互关联的,laravel的一对一,一对多比较好理解,本文重点通过实例给大家讲解 laravel中的多对多关系,感兴趣的朋友一起看看吧...2017-06-11
- 这篇文章主要介绍了Discuz论坛密码与密保加密规则的相关资料,需要的朋友可以参考下...2017-01-08
- 这篇文章主要介绍了MySQL加密和解密实例详解的相关资料,需要的朋友可以参考下...2017-06-21
php中array_slice和array_splice函数解析
本文介绍了php中array_slice和array_splice函数解析,php拆分数组的二个函数(array_slice()、array_splice()),各举一个例子,供大家学习参考。...2016-10-20- 这篇文章主要介绍了在Mac OS上搭建PHP的Yii框架及相关测试环境的方法,Mac自带Apache与PHP等软件,因而搭建开发环境时非常舒适,需要的朋友可以参考下...2016-02-18
- 今天在服务器做了迁移以后,前台可以正常显示和调用,登陆后台显示500错误,一般这种情况下都要查看核心跳转文件,经查看发现login.php文件并没有调用.因为找不到login.php文件,那就证明这个文件里是有语法错误...2015-12-24
windows 2008 R2 64位服务器中开启php curl扩展的方法
这篇文章主要介绍了windows 2008 R2 64位服务器中开启php curl扩展的方法,需要的朋友可以参考下...2016-01-27Windows 2008 R2 下IIS7.5+PHP5.2环境配置(FastCgi设置)
这篇文章主要介绍了Windows 2008 R2 下IIS7.5+PHP5.2环境配置(FastCgi设置),需要的朋友可以参考下...2016-07-04