我经常听到这样的建议:“使用bcrypt在PHP中存储密码,使用bcrypt规则”。
但是bcrypt是什么?PHP并没有提供任何这样的函数,维基百科上有关于文件加密实用程序的喋喋不休,网络搜索只显示了一些不同语言的Blowfish实现。现在Blowfish也可以通过mcrypt在PHP中使用,但这如何帮助存储密码呢?河豚是一种通用密码,有两种工作方式。如果可以加密,就可以解密。密码需要单向哈希函数。
怎么解释呢?
当前回答
OAuth 2密码:
$bcrypt = new \Zend\Crypt\Password\Bcrypt;
$bcrypt->create("youpasswordhere", 10)
其他回答
编辑:2013.01.15 -如果你的服务器将支持它,使用martinstoeckli的解决方案代替。
每个人都想把它弄得更复杂。crypt()函数完成了大部分工作。
function blowfishCrypt($password,$cost)
{
$chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
$salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
// $salt=sprintf('$2a$%02d$',$cost);
//Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
mt_srand();
for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
return crypt($password,$salt);
}
例子:
$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password
我知道这应该是显而易见的,但请不要使用“密码”作为你的密码。
PHP中的password_hash()函数是一个内置函数,用于使用不同的算法和选项创建新的密码散列。该函数使用了强哈希算法。
该函数有两个必选参数:$password和$algorithm,以及一个可选参数$options。
$strongPassword = password_hash( $password, $algorithm, $options );
目前password_hash()允许的算法是:
PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID
例子:
echo password_hash("abcDEF", PASSWORD_DEFAULT);
答:
$2y$10$KwKceUaG84WInAif5ehdZOkE4kHPWTLp0ZK5a5OU2EbtdwQ9YIcGy
例子:
echo password_hash("abcDEF", PASSWORD_BCRYPT);
答:
$2y$10$SNly5bFzB/R6OVbBMq1bj.yiOZdsk6Mwgqi4BLR2sqdCvMyv/AyL2
要使用BCRYPT,在$options中设置选项cost=12,同时将第一个参数$password更改为一些强密码,如“wgt167yuwby @#1987__”。
例子:
echo password_hash("wgt167yuWBGY@#1987__", PASSWORD_BCRYPT, ['cost' => 12]);
答:
$2y$12$TjSggXiFSidD63E.QP8PJOds2texJfsk/82VaNU8XRZ/niZhzkJ6S
众所周知,在数据库中以明文形式存储密码是不安全的。 bcrypt是一种哈希密码技术。它用于构建密码安全性。bcrypt的一个惊人的功能是它从黑客手中拯救我们,它被用来保护密码免受黑客攻击,因为密码是以bcrypt的形式存储的。
password_hash()函数用于创建一个新的密码散列。它使用强大而健壮的哈希算法。password_hash()函数与crypt()函数非常兼容。因此,由crypt()创建的密码哈希可以与password_hash()一起使用,反之亦然。函数password_verify()和password_hash()只是函数crypt()的包装器,它们使准确使用crypt()更加容易。
语法
string password_hash($password, $algo, $options)
password_hash()函数目前支持以下算法:
PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID
参数:这个函数接受上面提到的三个参数,如下所述:
$password:存储用户密码。
$ algorithm:它是密码算法常量,连续使用,同时表示密码哈希发生时要使用的算法。
$options:它是一个关联数组,包含选项。如果将其删除且不包含,则将使用随机盐,并将使用默认代价。
返回值:成功时返回散列密码,失败时返回False。
例子:
输入:
echo password_hash("GFG@123", PASSWORD_DEFAULT);
输出:
$2y$10$.vGA19Jh8YrwSJFDodbfoHJIOFH)DfhuofGv3Fykk1a
下面的程序演示了PHP中的password_hash()函数:
<?php echo password_hash("GFG@123", PASSWORD_DEFAULT); ?>
输出
$2y$10$Z166W1fBdsLcXPVQVfPw/uRq1ueWMA6sLt9bmdUFz9AmOGLdM393G
您可以使用PHP的crypt()函数使用bcrypt创建单向散列,并传入适当的Blowfish salt。整个等式中最重要的是A)算法没有被破坏,B)你正确地保存了每个密码。不要使用应用范围的盐;打开你的整个应用程序,从一组彩虹表攻击。
Crypt函数
你会得到很多信息足够与彩虹表:什么你需要知道的安全密码方案或便携式PHP密码哈希框架。
我们的目标是用一些缓慢的东西来散列密码,这样获取密码数据库的人就会试图用暴力破解密码(检查密码的10毫秒延迟对您来说不重要,对试图用暴力破解密码的人来说很重要)。Bcrypt很慢,可以通过一个参数来选择它有多慢。
