当前位置: 必赢官网 > 计算机编程 > 正文

PHP更安全的密码加密机制Bcrypt详解

时间:2019-09-23 22:48来源:计算机编程
PHP更安全的密码加密机制Bcrypt详解 常见的方式是:   哈希方式 加密密码 md5(‘123456') e10adc3949ba59abbe56e057f20f883e md5(‘123456' . ($salt = ‘salt')) 207acd61a3c1bd506d7e9a4535359f8a sha1(‘123456') 40位密文

图片 1

图片 2

PHP更安全的密码加密机制Bcrypt详解

常见的方式是:

 

哈希方式 加密密码
md5(‘123456') e10adc3949ba59abbe56e057f20f883e
md5(‘123456' . ($salt = ‘salt')) 207acd61a3c1bd506d7e9a4535359f8a
sha1(‘123456') 40位密文
hash(‘sha256', ‘123456') 64位密文
hash(‘sha512', ‘123456') 128位密文

密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。

比较常见的哈希方式是 md5 盐,避免用户设置简单密码,被轻松破解。

password_hash

但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。

1
2
3
4
$password = '123456';
  
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(password_hash($password, PASSWORD_DEFAULT));

password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。

每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。

1
2
3
4
$password = '123456';
  
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_verify($password, $hash));

password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。

1
2
3
$password = '123456';
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_get_info($hash));

输出

1
2
3
4
5
6
7
8
9
10
11
array(3) {
 ["algo"]=>
 int(1)
 ["algoName"]=>
 string(6) "bcrypt"
 ["options"]=>
 array(1) {
 ["cost"]=>
 int(10)
 }
}

注意:不包含 salt

可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT

password_hash($password, $algo, $options)的第三个参数 $options支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。

当要更新加密算法和加密选项时,可以通过password_needs_rehash判断是否需要重新加密,下面的代码是一段官方示例

1
2
3
4
5
6
7
8
9
10
11
12
13
$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
 // Check if a newer hashing algorithm is available
 // or the cost has changed
 if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
 {
  // If so, create a new hash, and replace the old one
  $newHash = password_hash($password, PASSWORD_DEFAULT, $options);
 }
 // Log user in
}

password_needs_rehash 可以理解为比较 $algo $optionpassword_get_info($hash)返回值。

password_hash 运算慢

password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
  
echo "n";
  
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i )
{
 md5($password);
}
var_dump(microtime(true));

输出

1
2
3
4
5
6
7
float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)
 
float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)

password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢。

总结

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家的支持。

原文链接:

常见的方式是: 哈希方式 加密密码 md5(123456') e10adc3949ba59abbe56e057f20f883e md5(123456' . ($salt = salt')) 207acd61a...

PHP 7.2已經在 2017 年 11 月 30 日 正式發布 。這次發布包含新特性、功能,及優化,以讓我們寫出更好的代碼。在這篇文章裡,我將會介紹一些 PHP 7.2 最有趣的語言特性。

image.png

相关文章

相关搜索:

今天看啥

搜索技术库

返回首页

  • PHP如何利用Socket获取网站的SSL证书与公钥
  • Laravel给生产环境添加监听事件(SQL日志监听
  • php如何批量上传数据到数据库(.csv格式)
  • PHP如何模糊查询并关联三个select框
  • Yii 2.0如何使用自带的验证码
  • thinkphp如何查询

相关频道: PHP教程  WEB编程教程  Jsp教程  Python教程  Asp.Net教程  Ruby教程  ASP教程  PHP函数  

你可以在 Requests For Comments 頁面查看完整的更動清單。

我们每年都会尝试深入了解不同版本的 PHP 和 HHVM 在各种平台的性能基准。 今年,我们全面对 20 种不同平台/配置中的四种不同的 PHP 引擎和 HHVM 进行了基准测试; 包括 WordPress,Drupal,Joomla!,Laravel,Symfony 等。 我们还测试了流行的电子商务解决方案,如 WooCommerce,Easy Digital Downloads,Magento 和 PrestaShop。

帮客评论

核心改进

我们一直鼓励 WordPress 用户利用最新的 支持的 PHP 版本 版本。 它们不仅更安全,而且还提供了额外的性能改进。 当然,我们并不是在谈论 WordPress,这在大多数平台上都是如此。 今天我们将向您展示 PHP 7.2 如何战无不胜!

编辑:计算机编程 本文来源:PHP更安全的密码加密机制Bcrypt详解

关键词: 必赢官网