PHP的password_hash()加密以及使用技巧

 PHP   高蒙   阅读(3143)   评论(0)   2016-03-27 16:26:57    password_hash()加密 php加密 password_hash()函数使用 Password Hashing php API函数 


PHP5.5引入了Password Hashing API函数,内核自带无需安装扩展。password_hash()是Password Hashing其中的一个函数。在PHP5.4下测试了下也可是可以的,使用前最好确认一下你当前的环境是否支持这些函数。Password Hashing主要提供了4个函数。

一、Password Hashing简介

PHP5.5提供了许多新特性及Api函数,其中之一就是Password Hashing API(创建和校验哈希密码)。

它包含4个函数:password_get_info()、password_hash()、password_needs_rehash()、password_verify()。

例:

//查看哈希值的相关信息
array password_get_info (string $hash)

//创建hash密码
string password_hash(string $password , integer $algo [, array $options ])

//判断hash密码是否特定选项、算法所创建
boolean password_needs_rehash (string $hash , integer $algo [, array $options ] 

//验证密码
boolean password_verify (string $password , string $hash)

在PHP5.5之前,我们对于密码的加密可能更多的是采用md5或sha1之类的加密方式。如:

echo md5("123456");   //输出: e10adc3949ba59abbe56e057f20f883e

但是简单的md5加密很容易通过字典的方式进行破解,随便找个md5解密的网站就能获取原始密码。

二、password_hash()函数的使用

php5.5提供的Password Hashing API就能很好的解决这些问题。

我们先来看password_hash()函数:

string password_hash ( string $password , integer $algo [, array $options ])

它有三个参数:密码、哈希算法、选项。前两项为必须的。

让我们使用password_hash()简单的创建一个哈希密码:

代码如下:

$pwd = "123456";

$hash = password_hash($pwd, PASSWORD_DEFAULT);

echo $hash;

上例输出结果类似:

$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2

并且刷新页面该哈希值也会不断的变化。

哈希值创建完毕,我们可以用password_verify()来校验密码是否和哈希值匹配:

代码如下:

boolean password_verify ( string $password , string $hash )

它接收2个参数:密码和哈希值,并返回布尔值。检查之前生成的哈希值是否和密码匹配:

代码如下:

if (password_verify($pwd,'$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2')) { 
    echo "密码正确";
} else {  
    echo "密码错误";
}

基本上使用以上这2个函数就能安全的创建和校验hash密码了,还有另外2个API函数:

代码如下:

password_get_info()              //查看哈希值的相关信息

password_needs_rehash()          //检查一个hash值是否是使用特定算法及选项创建的

三、总结

虽然通过password_hash()创建的哈希密码更加安全,但是却降低了互操作性。

如我们使用md5方式,在php中用标准的MD5加密,很容易通过其他语言来校验,如node.js:

代码如下:

var hash = crypto.createHash('md5').update("123456").digest('hex');

if(hash == "e10adc3949ba59abbe56e057f20f883e")  console.log('密码正确');

而使用password_hash()加密的哈希值基本只能通过PHP的password_verify来校验。

这2种方法各有优劣,是使用md5(或sha1等)+salt(干扰字符串)的方式还是使用password_hash()大家根据具体情况取舍把。

通过password_hash加密后的密码,使用字典方式很难破解,因为每次生成的密码都是不一样的,破解这种加密只能采用暴力破解。加密方法再好,原始密码设置的过于简单都容易被破解,设置复杂的密码才是王道。




相关文章



我要评论


站长昵称:(*)

输入内容:


评论列表


高蒙

男,程序猿一枚

 

人生要是没有理想, 那跟一条咸鱼有什么分别。


关于我

  http://www.shuchengxian.com

高蒙个人博客是以PHP技术为主的程序员个人博客。博客主要发布php开发中遇到的问题以及解决办法,同时个人博客也分享网站模板素材,jquery插件等方面素材。


站点声明:相关侵权、举报、投诉及建议等,请发E-mail:936594075#qq.com(#替换成@)。

Copyright © 2018, www.shuchengxian.com, All rights reserved. 个人博客皖公网安备 34152302000022号 皖ICP备15015490号

关键词:个人博客,PHP博客,PHP博客程序,高蒙博客,高蒙个人博客,php程序员博客,程序员个人博客