Kebelakangan ini saya telah cuba melaksanakan keselamatan saya sendiri pada skrip log masuk yang saya temui di internet. Semasa cuba mempelajari cara menjana garam untuk setiap pengguna, saya terjumpa password_hash
.
Setakat yang saya faham (daripada membaca halaman ini), apabila menggunakan
Saya ada soalan lain, adakah bijak menggunakan dua garam? Satu terus dalam fail dan satu dalam pangkalan data? Dengan cara ini, jika seseorang memecahkan garam dalam pangkalan data, anda masih mempunyai garam itu dalam fail. Saya pernah terbaca di sini bahawa menyimpan garam bukanlah satu idea yang bijak, tetapi saya selalu keliru dengan apa yang orang maksudkan dengan ini.
Ya, anda memahaminya dengan betul, fungsi password_hash() akan menjana garam secara automatik dan memasukkannya ke dalam nilai cincang yang dihasilkan. Menyimpan garam dalam pangkalan data adalah betul dan akan berfungsi walaupun ia diketahui.
Garam kedua yang anda nyatakan (yang disimpan dalam fail) sebenarnya adalah "lada" atau kunci sisi pelayan. Jika anda menambahnya sebelum cincang (seperti garam), maka anda menambah sejenis lada. Walau bagaimanapun, terdapat cara yang lebih baik, anda boleh mengira cincang terlebih dahulu dan kemudian menyulitkan (penyulitan dua hala) cincang menggunakan kunci sisi pelayan. Dengan cara ini anda boleh menukar kunci jika perlu.
Berbeza dengan garam, kunci ini harus dirahsiakan. Orang ramai sering keliru dan cuba menyembunyikan garam, tetapi lebih baik biarkan garam melakukan tugasnya dan gunakan kunci untuk menambah rahsia.
Menggunakan
password_hash
ialah cara yang disyorkan untuk menyimpan kata laluan. Jangan simpannya secara berasingan ke dalam pangkalan data dan fail.Katakan kita mempunyai input berikut:
Cincang kata laluan pertama dengan:
Kemudian lihat output:
Anda dapat melihat bahawa ia telah dicincang (saya andaikan anda telah menyelesaikan langkah ini).
Sekarang simpan kata laluan cincang ini ke dalam pangkalan data,Pastikan lajur kata laluan anda cukup besar untuk menampung nilai cincang (sekurang-kurangnya 60 aksara atau lebih lama). Apabila pengguna meminta untuk log masuk, anda boleh menyemak sama ada cincangan dalam pangkalan data sepadan dengan input kata laluan dengan:
Rujukan Rasmi