mata teras
password_hash() untuk mengesahkan kata laluan dengan nilai hash mereka, password_verify() untuk memeriksa jika kata laluan perlu digunakan semula hash, password_needs_rehash() Digunakan untuk mengembalikan nama algoritma hash dan pelbagai pilihan yang digunakan dalam proses hashing. password_get_info()
password_hash()
password_compat
password_hash()
password_verify()
password_needs_rehash()
password_get_info()
password_hash() Walaupun fungsi
crypt()
<?php $hash = md5($password . $salt); // 可行,但危险
<?php $hash = md5($password . $salt); // 可行,但危险
itu sahaja! Parameter pertama adalah rentetan kata laluan yang ada, dan parameter kedua menentukan algoritma yang digunakan untuk menjana hash. Algoritma lalai semasa adalah bcrypt, tetapi kadang -kadang pada masa akan datang ia boleh menambah algoritma yang lebih kuat sebagai algoritma lalai dan boleh menghasilkan rentetan yang lebih besar. Jika anda menggunakan PASSWORD_DEFAULT dalam projek anda, pastikan untuk menyimpan hash dalam lajur dengan kapasiti lebih daripada 60 aksara. Menetapkan saiz lajur hingga 255 mungkin pilihan yang baik. Anda juga boleh menggunakan PASSWORD_BCRYPT sebagai parameter kedua. Dalam kes ini, hasilnya sentiasa panjang 60 aksara. Adalah penting di sini bahawa anda tidak perlu memberikan nilai garam atau parameter kos. API baru akan mengendalikan semua ini untuk anda. Garam adalah sebahagian daripada hash, jadi anda tidak perlu menyimpannya secara berasingan. Jika anda ingin memberikan garam anda sendiri (atau kos), anda boleh melakukannya dengan meluluskan parameter ketiga (pelbagai pilihan) ke fungsi.
<?php $hash = password_hash($password, PASSWORD_DEFAULT);
Dengan cara ini, anda sentiasa boleh menggunakan langkah keselamatan terkini. Jika PHP kemudian memutuskan untuk melaksanakan algoritma hashing yang lebih kuat, kod anda boleh memanfaatkannya.
password_verify() mengambil kata laluan teks biasa dan rentetan hash sebagai dua parameternya. Mengembalikan benar jika hash sepadan dengan kata laluan yang ditentukan. password_verify()
<?php $options = [
'salt' => custom_function_for_salt(), //编写您自己的代码以生成合适的盐
'cost' => 12 // 默认成本为 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);
password_needs_rehash() Apa yang harus saya lakukan jika saya perlu mengubah suai garam dan parameter kos rentetan hash? Ini adalah kebimbangan kerana anda mungkin memutuskan untuk meningkatkan keselamatan dengan menambah garam yang lebih kuat atau parameter kos yang lebih besar. Di samping itu, PHP boleh mengubah pelaksanaan lalai algoritma hashing. Dalam semua kes ini, anda mahu mengembalikan kata laluan yang ada. password_needs_rehash() membantu memeriksa sama ada hash yang ditentukan melaksanakan algoritma tertentu dan menggunakan pilihan tertentu (seperti kos dan garam) apabila dicipta. Ingat bahawa apabila pengguna cuba log masuk ke laman web anda, anda perlu melakukan ini kerana ia hanya masa apabila anda boleh mengakses kata laluan teks biasa anda.
<?php if (password_verify($password, $hash)) {
// 成功!
} else {
// 无效的凭据
}
password_get_info() menerima hash dan mengembalikan array bersekutu yang mengandungi tiga elemen:
password_get_info()
algo - nama algoritma yang digunakan algoName - Pelbagai pilihan yang digunakan semasa menjana hash options API hash kata laluan baru lebih mudah digunakan daripada menggunakan fungsi crypt(). Jika laman web anda sedang berjalan pada PHP 5.5, maka saya sangat mengesyorkan menggunakan API Hash baru. Mereka yang menggunakan Php 5.3.7 (atau lebih baru) boleh menggunakan perpustakaan yang dipanggil password_compat, yang meniru API dan secara automatik melumpuhkan dirinya selepas versi PHP ditingkatkan kepada 5.5.
php 5.5 kata laluan Hash API FAQ (FAQ)
PHP 5.5 Kata Laluan Hash API adalah ciri dalam PHP 5.5 dan kemudian yang menyediakan pemaju dengan cara mudah untuk hash dan mengesahkan kata laluan dengan cara yang selamat. Ia penting kerana ia membantu melindungi data pengguna yang sensitif. Jika pangkalan data digodam, kata laluan hash lebih sukar untuk retak daripada kata laluan teks biasa. API menggunakan fungsi hash yang kuat bcrypt secara lalai dan secara automatik mengendalikan penjanaan nilai garam, menjadikannya lebih mudah bagi pemaju untuk melaksanakan pemprosesan kata laluan yang selamat.
password_hash Bagaimana fungsi berfungsi? password_hash adalah sebahagian daripada php 5.5 kata laluan hash API. Ia menerima kata laluan teks biasa dan algoritma hash sebagai input dan mengembalikan kata laluan hash. Fungsi ini juga menjana secara automatik dan menggunakan nilai garam rawak pada kata laluan sebelum hashing. Nilai garam ini terkandung dalam hash yang dikembalikan, jadi tidak perlu menyimpannya secara berasingan.
password_verify Apakah tujuan fungsi ini? password_verify digunakan untuk mengesahkan kata laluan berdasarkan kata laluan hash. Ia menerima kata laluan teks biasa dan kata laluan hash sebagai input. Fungsi ini mengekstrak nilai garam dan algoritma hashing dari kata laluan hashed, menggunakannya pada kata laluan teks biasa, dan kemudian membandingkan hasil dengan kata laluan hashed asal. Jika ia sepadan, fungsi itu kembali benar, menunjukkan bahawa kata laluan adalah betul.
PHP 5.5 Kata Laluan Hash API dianggap sangat selamat. Ia menggunakan algoritma Hashing Bcrypt secara lalai, yang merupakan fungsi hashing yang kuat. API juga secara automatik menjana dan menggunakan nilai garam rawak untuk setiap kata laluan, yang membantu mencegah serangan meja pelangi. Walau bagaimanapun, seperti semua langkah keselamatan, ia tidak boleh digunakan dan harus digunakan sebagai sebahagian daripada dasar keselamatan yang komprehensif.
password_hash? Ya, anda boleh menggunakan garam tersuai dalam fungsi password_hash, tetapi ini tidak disyorkan. Fungsi ini secara automatik menjana nilai garam rawak untuk setiap kata laluan, yang biasanya lebih selamat daripada garam tersuai. Jika anda memilih untuk menggunakan garam tersuai, ia harus menjadi rentetan rawak sekurang -kurangnya 22 aksara.
password_hash Apakah parameter kos dalam fungsi? password_hash Parameter kos dalam fungsi menentukan kos pengiraan hash. Kos yang lebih tinggi menjadikan hash lebih selamat, tetapi juga pengiraan yang lebih perlahan. Kos lalai adalah 10, yang merupakan keseimbangan yang baik antara keselamatan dan prestasi untuk kebanyakan aplikasi.
anda boleh menggunakan fungsi password_needs_rehash untuk memeriksa sama ada kata laluan hash perlu dibatalkan. Fungsi ini menerima kata laluan hash, algoritma hash, dan kos pilihan sebagai input. Sekiranya kata laluan hash dibuat dengan algoritma atau kos yang berbeza, ia akan kembali benar, menunjukkan bahawa ia perlu dibatalkan.
PHP 5.5 Kata Laluan Hash API hanya tersedia dalam PHP 5.5 dan kemudian. Walau bagaimanapun, terdapat perpustakaan keserasian yang menyediakan fungsi yang sama untuk Php 5.3.7 dan kemudian.
PASSWORD_DEFAULT dan kemudian algoritma lalai berubah dalam versi masa depan PHP? Jika anda mempunyai kata laluan menggunakan PASSWORD_DEFAULT tetap dan kemudian algoritma lalai dalam versi masa depan perubahan PHP, fungsi password_hash akan terus berfungsi seperti yang diharapkan. Kata laluan hashed mengandungi maklumat mengenai algoritma yang digunakan, jadi fungsi password_verify masih boleh mengesahkan kata laluan dengan betul.
Ya, anda boleh menggunakan API hash PHP 5.5 kata laluan dengan kata laluan bukan ASCII. Fungsi password_hash dan password_verify menggunakan data binari, jadi mereka boleh mengendalikan kata laluan untuk sebarang watak. Walau bagaimanapun, anda perlu ambil perhatian bahawa sistem yang berbeza boleh mengendalikan aksara bukan ASCII secara berbeza, jadi adalah idea yang baik untuk menormalkannya sebelum membasuh kata laluan.
Atas ialah kandungan terperinci Kata Laluan Hash dengan API Hashing Kata Laluan PHP 5.5. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
