In letzter Zeit habe ich versucht, meine eigene Sicherheit in ein Anmeldeskript zu implementieren, über das ich im Internet gestolpert bin. Nachdem ich Schwierigkeiten hatte zu lernen, wie ich mein eigenes Skript erstellen kann, um für jeden Benutzer einen Salt zu generieren, bin ich auf password_hash
gestoßen.
So wie ich es verstehe (basierend auf der Lektüre dieser Seite), wird das Salt bereits in der Zeile generiert, wenn Sie password_hash
verwenden. Das ist echt?
Meine andere Frage ist, wäre es nicht klug, zwei Arten von Salz zu haben? Eine direkt in der Datei und eine in der Datenbank? Wenn also jemand das Salt in der Datenbank beschädigt, können Sie das Salt trotzdem direkt in der Datei speichern? Ich habe hier gelesen, dass das Aufbewahren von Salz niemals eine kluge Idee ist, aber es verwirrt mich immer, was die Leute damit meinen.
是的,您理解正确,函数password_hash()将自行生成盐,并将其包含在生成的哈希值中。将盐存储在数据库中是绝对正确的,即使已知它也能完成其工作。
您提到的第二个盐(存储在文件中的盐)实际上是胡椒或服务器端密钥。如果你在散列之前添加它(就像盐一样),那么你就添加了胡椒粉。不过,有一种更好的方法,您可以首先计算哈希值,然后使用服务器端密钥加密(双向)哈希值。这使您可以在必要时更改密钥。
与盐相反,这个密钥应该保密。人们经常混淆它并试图隐藏盐,但最好让盐发挥其作用并用密钥添加秘密。
建议使用
password_hash
来存储密码。不要将它们分成数据库和文件。假设我们有以下输入:
您首先通过执行以下操作对密码进行哈希处理:
然后查看输出:
正如你所看到的,它是经过哈希处理的。 (我假设您执行了这些步骤)。
现在,您将此散列密码存储在数据库中,确保您的密码列足够大以容纳散列值(至少 60 个字符或更长)。当用户要求登录时,您可以使用数据库中的哈希值检查输入的密码,方法如下:
官方参考