常用的MD5、SHA1、SHA256哈希算法,是面向快速、高效进行哈希处理而设计的。随着技术进步和计算机硬件的提升,如今强大的计算机很容易破解这种算法。也就是说,不要用MD5、SHA1、SHA256这种哈希方法加密密码了,不太安全。
还好,PHP内置了密码哈希函数password_hash,使用这个方法,PHP会升级底层的算法,达到如今的安全标准水平。

版本要求:

PHP 5 >= 5.5.0, PHP 7

password_hash使用方法

string password_hash ( string $password , int $algo [, array $options ] )
参数:

password: 用户的密码
algo:密码算法常量,建议使用PASSWORD_DEFAULT
options:一个包含有选项的关联数组,目前支持两个选项:salt(从 PHP 7.0.0 开始被废弃),在散列密码时加的盐(干扰字符串),以及cost,用来指明算法递归的层数(默认10)。

<?php

/**

 * 我们想要使用默认算法散列密码

 * 当前是 BCRYPT,并会产生 60 个字符的结果。

 *

 * 请注意,随时间推移,默认算法可能会有变化,

 * 所以需要储存的空间能够超过 60 字(255字不错)

 */

echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);

?>

验证密码

由于使用的随机salt,每次加密后的密码都是不一样的,不能用普通==来判断密码是否相等,因此php提供了相应的函数来验证password_verify

bool password_verify ( string $password , string $hash )
参数:

password:用户的密码。
hash:一个由 password_hash() 创建的散列值。

<?php

// 想知道以下字符从哪里来,可参见 password_hash() 的例子

$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {

    echo 'Password is valid!';

} else {

    echo 'Invalid password.';

}

?>

检测存储的密码是否匹配

检测存储的密码是否与您指定的当前安全需求相匹配。如果不匹配,原因可能是,您增加了 cost 参数,或者一个新的 PHP 版本在幕后更改为一种不同的哈希算法。正因如此,PASSWORD_DEFAULT 应当是您首选的算法;此选项始终会使您的软件使用当前的最佳实践版本。

说明:
bool password_needs_rehash ( string $hash , int $algo [, array $options ] )

hash: 一个由 password_hash() 创建的散列值。
algo: 一个用来在散列密码时指示算法的密码算法常量。
options: 一个包含有选项的关联数组。目前支持两个选项:salt(从 PHP 7.0.0 开始被废弃),在散列密码时加的盐(干扰字符串),以及cost,用来指明算法递归的层数(默认10)。

例子:
<?php

$password = 'rasmuslerdorf';

$hash = '$2y$10$YCFsG6elYca568hBi2pZ0.3LDL5wjgxct1N8w/oLR/jfHsiQwCqTS';

// 当硬件性能得到改善时,cost 参数可以再修改

$options = array('cost' => 11);

// 根据明文密码验证储存的散列

if (password_verify($password, $hash)) {

    // 检测是否有更新的可用散列算法

    // 或者 cost 发生变化

    if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) {

        // 如果是这样,则创建新散列,替换旧散列

        $newHash = password_hash($password, PASSWORD_DEFAULT, $options);

    }

    // 使用户登录

}

?>

最新文章

  1. Ubuntu16.04下安装VS Code
  2. Win8 安装 Scrapy
  3. Yocto开发笔记之《Tip-bitbake常用命令》(QQ交流群:519230208)
  4. oracle PL/SQL管理命令语句
  5. T-SQL 变量
  6. MVC校验
  7. dirname(__FILE__) 的使用总结
  8. 定时显示提示控件 TToolTip
  9. 会话管理---Cookie与Session
  10. 一步步学习EF Core(1.DBFirst)
  11. react create-react-app 跨域
  12. js给图层添加动态样式
  13. 【Java每日一题】20170306
  14. 在DevExpress程序中使用PopupContainerEdit和PopupContainer实现数据展示
  15. es2015(es6)基础知识整理(更新中...)
  16. Linux背背背(4)vim操作
  17. Linux 中的文件锁
  18. Git学习系列之Debian或Ubuntu上安装Git详细步骤(图文详解)
  19. hdu 1568 (log取对数 / Fib数通项公式)
  20. centos下安装配置mongodb

热门文章

  1. 二次剩余的判定及Cipolla算法
  2. nodemon的使用
  3. 搁置:vue-element-admin
  4. K8S 概述
  5. 使用IDA pro逆向ARM M系核心的Bin固件
  6. 08-SV面向对象编程的高级技巧指南
  7. C语言 三目运算
  8. sqli-labs less-5 --&gt; less-6
  9. ArcMap 导入自定义样式Symbols
  10. The sklearn preprocessing