我经常听到这样的建议:“使用bcrypt在PHP中存储密码,使用bcrypt规则”。
但是bcrypt是什么?PHP并没有提供任何这样的函数,维基百科上有关于文件加密实用程序的喋喋不休,网络搜索只显示了一些不同语言的Blowfish实现。现在Blowfish也可以通过mcrypt在PHP中使用,但这如何帮助存储密码呢?河豚是一种通用密码,有两种工作方式。如果可以加密,就可以解密。密码需要单向哈希函数。
怎么解释呢?
当前回答
众所周知,在数据库中以明文形式存储密码是不安全的。 bcrypt是一种哈希密码技术。它用于构建密码安全性。bcrypt的一个惊人的功能是它从黑客手中拯救我们,它被用来保护密码免受黑客攻击,因为密码是以bcrypt的形式存储的。
password_hash()函数用于创建一个新的密码散列。它使用强大而健壮的哈希算法。password_hash()函数与crypt()函数非常兼容。因此,由crypt()创建的密码哈希可以与password_hash()一起使用,反之亦然。函数password_verify()和password_hash()只是函数crypt()的包装器,它们使准确使用crypt()更加容易。
语法
string password_hash($password, $algo, $options)
password_hash()函数目前支持以下算法:
PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID
参数:这个函数接受上面提到的三个参数,如下所述:
$password:存储用户密码。
$ algorithm:它是密码算法常量,连续使用,同时表示密码哈希发生时要使用的算法。
$options:它是一个关联数组,包含选项。如果将其删除且不包含,则将使用随机盐,并将使用默认代价。
返回值:成功时返回散列密码,失败时返回False。
例子:
输入:
echo password_hash("GFG@123", PASSWORD_DEFAULT);
输出:
$2y$10$.vGA19Jh8YrwSJFDodbfoHJIOFH)DfhuofGv3Fykk1a
下面的程序演示了PHP中的password_hash()函数:
<?php echo password_hash("GFG@123", PASSWORD_DEFAULT); ?>
输出
$2y$10$Z166W1fBdsLcXPVQVfPw/uRq1ueWMA6sLt9bmdUFz9AmOGLdM393G
其他回答
你会得到很多信息足够与彩虹表:什么你需要知道的安全密码方案或便携式PHP密码哈希框架。
我们的目标是用一些缓慢的东西来散列密码,这样获取密码数据库的人就会试图用暴力破解密码(检查密码的10毫秒延迟对您来说不重要,对试图用暴力破解密码的人来说很重要)。Bcrypt很慢,可以通过一个参数来选择它有多慢。
您可以使用PHP的crypt()函数使用bcrypt创建单向散列,并传入适当的Blowfish salt。整个等式中最重要的是A)算法没有被破坏,B)你正确地保存了每个密码。不要使用应用范围的盐;打开你的整个应用程序,从一组彩虹表攻击。
Crypt函数
当前的想法:散列应该是可用的最慢的,而不是最快的。这抑制了彩虹表攻击。
同样相关,但要注意的是:攻击者永远不应该无限制地访问您的登录屏幕。为了防止这种情况:建立一个IP地址跟踪表,记录每次命中和URI。如果在任何5分钟内,来自同一IP地址的登录尝试超过5次,则阻止并解释。第二种方法是采用两层密码方案,就像银行一样。对第二次传递的失败设置锁定可以提高安全性。
总结:使用耗时的哈希函数降低攻击者的速度。此外,阻止太多访问您的登录,并添加第二个密码层。
编辑:2013.01.15 -如果你的服务器将支持它,使用martinstoeckli的解决方案代替。
每个人都想把它弄得更复杂。crypt()函数完成了大部分工作。
function blowfishCrypt($password,$cost)
{
$chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
$salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
// $salt=sprintf('$2a$%02d$',$cost);
//Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
mt_srand();
for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
return crypt($password,$salt);
}
例子:
$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password
我知道这应该是显而易见的,但请不要使用“密码”作为你的密码。
众所周知,在数据库中以明文形式存储密码是不安全的。 bcrypt是一种哈希密码技术。它用于构建密码安全性。bcrypt的一个惊人的功能是它从黑客手中拯救我们,它被用来保护密码免受黑客攻击,因为密码是以bcrypt的形式存储的。
password_hash()函数用于创建一个新的密码散列。它使用强大而健壮的哈希算法。password_hash()函数与crypt()函数非常兼容。因此,由crypt()创建的密码哈希可以与password_hash()一起使用,反之亦然。函数password_verify()和password_hash()只是函数crypt()的包装器,它们使准确使用crypt()更加容易。
语法
string password_hash($password, $algo, $options)
password_hash()函数目前支持以下算法:
PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID
参数:这个函数接受上面提到的三个参数,如下所述:
$password:存储用户密码。
$ algorithm:它是密码算法常量,连续使用,同时表示密码哈希发生时要使用的算法。
$options:它是一个关联数组,包含选项。如果将其删除且不包含,则将使用随机盐,并将使用默认代价。
返回值:成功时返回散列密码,失败时返回False。
例子:
输入:
echo password_hash("GFG@123", PASSWORD_DEFAULT);
输出:
$2y$10$.vGA19Jh8YrwSJFDodbfoHJIOFH)DfhuofGv3Fykk1a
下面的程序演示了PHP中的password_hash()函数:
<?php echo password_hash("GFG@123", PASSWORD_DEFAULT); ?>
输出
$2y$10$Z166W1fBdsLcXPVQVfPw/uRq1ueWMA6sLt9bmdUFz9AmOGLdM393G
推荐文章
- 致命错误:未找到类“SoapClient”
- 我目前使用的是哪个版本的CodeIgniter ?
- 合并两个PHP对象的最佳方法是什么?
- 如何使HTTP请求在PHP和不等待响应
- 发送附件与PHP邮件()?
- 如何获得当前的路线在Symfony 2?
- 用PHP删除字符串的前4个字符
- 密码盐如何帮助对抗彩虹表攻击?
- mysql_connect():[2002]没有这样的文件或目录(试图通过unix:///tmp/mysql.sock连接)在
- 一个函数的多个返回值
- 在PHP中使用foreach循环时查找数组的最后一个元素
- 检查数组是否为空
- PHP DOMDocument loadHTML没有正确编码UTF-8
- PHP在个位数数前加上前导零
- PHPMailer字符编码问题
