当前位置：首页 > 资讯 > 技术文档

PHP更安全的密码加密机制Bcrypt详解

时间：2022-07-30 12:43 编辑：来源：阅读：
扫一扫，手机访问

摘要：PHP更安全的密码加密机制Bcrypt详解

[b]前言[/b] 我们常常为了避免在服务器受到攻击，数据库被拖库时，用户的明文密码不被泄露，一般会对密码进行单向不可逆加密——哈希。 [b]常见的方式是：[/b]

哈希方式	加密密码
md5(‘123456')	e10adc3949ba59abbe56e057f20f883e
md5(‘123456' . ($salt = ‘salt'))	207acd61a3c1bd506d7e9a4535359f8a
sha1(‘123456')	40位密文
hash(‘sha256', ‘123456')	64位密文
hash(‘sha512', ‘123456')	128位密文

密文越长，在相同机器上，进行撞库消耗的时间越长，相对越安全。比较常见的哈希方式是 md5 + 盐，避免用户设置简单密码，被轻松破解。 [b]password_hash[/b] 但是，现在要推荐的是 [code]password_hash()[/code] 函数，可以轻松对密码实现加盐加密，而且几乎不能破解。

$password = '123456';
 
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(password_hash($password, PASSWORD_DEFAULT));

[code]password_hash[/code] 生成的哈希长度是 PASSWORD_BCRYPT —— 60位，PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系，会等于其他值，但不影响使用。每一次 [code]password_hash[/code] 运行结果都不一样，因此需要使用 [code]password_verify[/code] 函数进行验证。

$password = '123456';
 
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_verify($password, $hash));

[code]password_hash[/code] 会把计算 hash 的所有参数都存储在 hash 结果中，可以使用 [code]password_get_info[/code] 获取相关信息。

$password = '123456';
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_get_info($hash));

输出

array(3) {
 ["algo"]=>
 int(1)
 ["algoName"]=>
 string(6) "bcrypt"
 ["options"]=>
 array(1) {
 ["cost"]=>
 int(10)
 }
}

[b]注意：[/b]不包含 salt 可以看出我当前版本的 PHP 使用 [code]PASSWORD_DEFAULT[/code] 实际是使用 [code]PASSWORD_BCRYPT[/code]。 [code]password_hash($password, $algo, $options) [/code]的第三个参数 [code]$options [/code]支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt，不要主动设置 salt。当要更新加密算法和加密选项时，可以通过[code] password_needs_rehash [/code]判断是否需要重新加密，下面的代码是一段官方示例

$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
 // Check if a newer hashing algorithm is available
 // or the cost has changed
 if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
 {
  // If so, create a new hash, and replace the old one
  $newHash = password_hash($password, PASSWORD_DEFAULT, $options);
 }
 // Log user in
}

[code]password_needs_rehash[/code] 可以理解为比较 [code]$algo [/code]+ [code]$option[/code] 和 [code]password_get_info($hash) [/code]返回值。 [b]password_hash 运算慢[/b] [code]password_hash[/code] 是出了名的运行慢，也就意味着在相同时间内，密码重试次数少，泄露风险降低。

$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
 
echo "\n";
 
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
 md5($password);
}
var_dump(microtime(true));

输出

float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)

float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)

[code]password_hash[/code] 运行一次耗时 784 毫秒， md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较，跟运行机器有关，但也可以看出 [code]password_hash[/code] 运行确实非常慢。 [b]总结[/b] 以上就是这篇文章的全部内容了，希望本文的内容对大家的学习或者工作能带来一定的帮助，如果有疑问大家可以留言交流，谢谢大家对编程素材网的支持。

全部评论(0)

上一篇：jquery实现简单的banner轮播效果【实例】
下一篇：适合做公告板的代码收集

资讯排行榜
更多>>