PHP实例：PHP更安全的密码加密机制Bcrypt详解

《PHP实例：PHP更安全的密码加密机制Bcrypt详解》要点：
本文介绍了PHP实例：PHP更安全的密码加密机制Bcrypt详解，希望对您有用。如果有疑问，可以联系我们。

前言PHP教程

我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密――哈希.PHP教程

常见的方式是：PHP教程

密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全.PHP教程

比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解.PHP教程

password_hashPHP教程

但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解.PHP教程

$password = '123456';
 
var_dump(password_hash($password,PASSWORD_DEFAULT));
var_dump(password_hash($password,PASSWORD_DEFAULT));

password_hash 生成的哈希长度是 PASSWORD_BCRYPT ―― 60位,PASSWORD_DEFAULT ―― 60位 ~ 255位.PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用.PHP教程

每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证.PHP教程

$password = '123456';
 
$hash = password_hash($password,PASSWORD_DEFAULT);
var_dump(password_verify($password,$hash));

password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息.PHP教程

$password = '123456';
$hash = password_hash($password,PASSWORD_DEFAULT);
var_dump(password_get_info($hash));

输出
PHP教程

array(3) {
 ["algo"]=>
 int(1)
 ["algoName"]=>
 string(6) "bcrypt"
 ["options"]=>
 array(1) {
 ["cost"]=>
 int(10)
 }
}

注意：不包含 salt
PHP教程

可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT.PHP教程

password_hash($password,$algo,$options) 的第三个参数 $options 支持设置至少 22 位的 salt.但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt.PHP教程

当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例PHP教程

$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password,$hash))
{
 // Check if a newer hashing algorithm is available
 // or the cost has changed
 if (password_needs_rehash($hash,PASSWORD_DEFAULT,$options))
 {
  // If so,create a new hash,and replace the old one
  $newHash = password_hash($password,$options);
 }
 // Log user in
}

password_needs_rehash 可以理解为比较 $algo + $option 和 password_get_info($hash) 返回值.PHP教程

password_hash 运算慢PHP教程

password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低.PHP教程

$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password,PASSWORD_DEFAULT));
var_dump(microtime(true));
 
echo "n";
 
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
 md5($password);
}
var_dump(microtime(true));

输出
PHP教程

float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)
float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)

password_hash 运行一次耗时 784 毫秒,md5 运行 1000 次耗时 5 毫秒.这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢.PHP教程

总结PHP教程

以上就是这篇文章的全部内容了,希望本文的内容对大家的学习或者工作能带来一定的帮助,如果有疑问大家可以留言交流,谢谢大家对脚本之家PHP的支持.PHP教程

（编辑：安卓应用网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!