suchen
HeimBackend-EntwicklungPHP-TutorialAusführliche Erklärung von Bcrypt, dem sichereren Passwortverschlüsselungsmechanismus von PHP

Ausführliche Erklärung von Bcrypt, dem sichereren Passwortverschlüsselungsmechanismus von PHP

陈政宽~
陈政宽~
Jun 28, 2017 pm 01:10 PM
bcryptphp机制

这篇文章主要给大家介绍了关于PHP更安全的密码加密机制Bcrypt的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧。

前言

我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希。

常见的方式是:

哈希方式 加密密码
md5(‘123456') e10adc3949ba59abbe56e057f20f883e
md5(‘123456' . ($salt = ‘salt')) 207acd61a3c1bd506d7e9a4535359f8a
sha1(‘123456') 40位密文
hash(‘sha256', ‘123456') 64位密文
hash(‘sha512', ‘123456') 128位密文

密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。

比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。

password_hash

但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。


$password = '123456';
 
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(password_hash($password, PASSWORD_DEFAULT));

password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。

每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。

$password = '123456';
 
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_verify($password, $hash));

password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。

$password = '123456';
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_get_info($hash));

输出

array(3) {
 ["algo"]=>
 int(1)
 ["algoName"]=>
 string(6) "bcrypt"
 ["options"]=>
 array(1) {
 ["cost"]=>
 int(10)
 }
}

注意:不包含 salt

可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT

password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。

当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例


$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
 // Check if a newer hashing algorithm is available
 // or the cost has changed
 if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
 {
  // If so, create a new hash, and replace the old one
  $newHash = password_hash($password, PASSWORD_DEFAULT, $options);
 }
 // Log user in
}

password_needs_rehash 可以理解为比较 $algo + $optionpassword_get_info($hash) 返回值。

password_hash 运算慢

password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。

$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
 
echo "\n";
 
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
 md5($password);
}
var_dump(microtime(true));

输出

float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)

float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)

password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢。

总结

Das obige ist der detaillierte Inhalt vonAusführliche Erklärung von Bcrypt, dem sichereren Passwortverschlüsselungsmechanismus von PHP. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Stellungnahme
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Verwandter Artikel
Abhängigkeitsinjektion in PHP: Vermeidung häufiger FallstrickeAbhängigkeitsinjektion in PHP: Vermeidung häufiger FallstrickeMay 16, 2025 am 12:17 AM

Abhängigkeitsinjektion (DI) InphpenHancesCodeFlexibility und TestabilityByDecoubingDependencycreation Fromusage

So beschleunigen Sie Ihre PHP -Website: LeistungsstimmungSo beschleunigen Sie Ihre PHP -Website: LeistungsstimmungMay 16, 2025 am 12:12 AM

ToimPoveyourphpwebsites Sperrformance, UsethesStrategien: 1) ImplementoPcodeCachingWithopcachetospeedUpScriptinterpretation.2) optimizedatabasequeriesBySelectingonlyNlyn -notwendigem Feldern

Senden von Massen -E -Mails mit PHP: Ist es möglich?Senden von Massen -E -Mails mit PHP: Ist es möglich?May 16, 2025 am 12:10 AM

Ja, itispossibletosendmassemailswithphp.1) uselibrary -LikephpmailerorsWiftmailerFefficienceMailSending.2) ImplementDelaysBetumailstoAvoidSpamFlAGs.3) personalisierungseemailSuseddynamiccontentToImproviVeenGhalent.4) Nutzungsunternehmen

Was ist der Zweck der Abhängigkeitsinjektion in PHP?Was ist der Zweck der Abhängigkeitsinjektion in PHP?May 16, 2025 am 12:10 AM

Abhängigkeitsinjektion (DI) InphpisadsignPatternThatachieVesinversionofControl (IOC) BylowlowingDependencieStobeinjectedIntoclasses, EnhancingModularity, Testbarkeit und Flexibilität

Wie sende ich eine E -Mail mit PHP?Wie sende ich eine E -Mail mit PHP?May 16, 2025 am 12:03 AM

Die besten Möglichkeiten zum Senden von E -Mails mit PHP sind: 1.. Verwenden Sie die Funktion von PHP -E -Mail () für das grundlegende Senden; 2. Verwenden Sie die Phpmailer -Bibliothek, um komplexere HTML -Mails zu senden. 3.. Verwenden Sie Transaktions -Mail -Dienste wie SENDGRID, um die Zuverlässigkeits- und Analysefunktionen zu verbessern. Mit diesen Methoden können Sie sicherstellen, dass E -Mails nicht nur den Posteingang erreichen, sondern auch Empfänger anziehen.

Wie berechnet man die Gesamtzahl der Elemente in einem multidimensionalen PHP -Array?Wie berechnet man die Gesamtzahl der Elemente in einem multidimensionalen PHP -Array?May 15, 2025 pm 09:00 PM

Die Berechnung der Gesamtzahl der Elemente in einem multidimensionalen PHP -Array kann mit rekursiven oder iterativen Methoden erfolgen. 1. Die rekursive Methode zählt durch Überqueren des Arrays und die rekursive Verarbeitung verschachtelter Arrays. 2. Die iterative Methode verwendet den Stapel, um die Rekursion zu simulieren, um Tiefenprobleme zu vermeiden. 3. Die Funktion array_walk_recursive kann ebenfalls implementiert werden, erfordert jedoch eine manuelle Zählung.

Was sind die Merkmale von Schleifen in PHP?Was sind die Merkmale von Schleifen in PHP?May 15, 2025 pm 08:57 PM

In PHP besteht das Merkmal einer DO-While-Schleife darin, sicherzustellen, dass der Schleifenkörper mindestens einmal ausgeführt wird, und dann zu entscheiden, ob die Schleife basierend auf den Bedingungen fortgesetzt werden soll. 1) Es wird die Schleifenkörper vor der bedingten Überprüfung ausgeführt, die für Szenarien geeignet ist, in denen Vorgänge mindestens einmal ausgeführt werden müssen, z. B. die Überprüfung der Benutzereingabe und der Menüsysteme. 2) Die Syntax der DO-While-Schleife kann jedoch bei Neulingen Verwirrung verursachen und unnötige Leistungsaufwand verleihen.

Wie kann man in PHP Saiten hasht?Wie kann man in PHP Saiten hasht?May 15, 2025 pm 08:54 PM

Effiziente Hashing -Zeichenfolgen in PHP können die folgenden Methoden verwenden: 1. Verwenden Sie die MD5 -Funktion für schnelles Hashing, eignen sich jedoch nicht für den Kennwortspeicher. 2. Verwenden Sie die SHA256 -Funktion, um die Sicherheit zu verbessern. 3.. Verwenden Sie die Funktion password_hash, um Passwörter zu verarbeiten, um die höchste Sicherheit und Bequemlichkeit zu gewährleisten.

See all articles

Heiße KI -Werkzeuge

Undresser.AI Undress

Undresser.AI Undress

KI-gestützte App zum Erstellen realistischer Aktfotos

AI Clothes Remover

AI Clothes Remover

Online-KI-Tool zum Entfernen von Kleidung aus Fotos.

Undress AI Tool

Undress AI Tool

Ausziehbilder kostenlos

Clothoff.io

Clothoff.io

KI-Kleiderentferner

Video Face Swap

Video Face Swap

Tauschen Sie Gesichter in jedem Video mühelos mit unserem völlig kostenlosen KI-Gesichtstausch-Tool aus!

Mehr anzeigen

Heißer Artikel

<🎜>: Wachsen Sie einen Garten - Komplette Mutationsführer
4 Wochen vorByDDD
<🎜>: Bubble Gum Simulator Infinity - So erhalten und verwenden Sie Royal Keys
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
Nordhold: Fusionssystem, erklärt
1 Monate vorBy尊渡假赌尊渡假赌尊渡假赌
Mandragora: Flüstern des Hexenbaum
4 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
<🎜> obscur: Expedition 33 - So erhalten Sie perfekte Chroma -Katalysatoren
2 Wochen vorBy尊渡假赌尊渡假赌尊渡假赌
Mehr anzeigen

Heiße Werkzeuge

ZendStudio 13.5.1 Mac

ZendStudio 13.5.1 Mac

Leistungsstarke integrierte PHP-Entwicklungsumgebung

SecLists

SecLists

SecLists ist der ultimative Begleiter für Sicherheitstester. Dabei handelt es sich um eine Sammlung verschiedener Arten von Listen, die häufig bei Sicherheitsbewertungen verwendet werden, an einem Ort. SecLists trägt dazu bei, Sicherheitstests effizienter und produktiver zu gestalten, indem es bequem alle Listen bereitstellt, die ein Sicherheitstester benötigen könnte. Zu den Listentypen gehören Benutzernamen, Passwörter, URLs, Fuzzing-Payloads, Muster für vertrauliche Daten, Web-Shells und mehr. Der Tester kann dieses Repository einfach auf einen neuen Testcomputer übertragen und hat dann Zugriff auf alle Arten von Listen, die er benötigt.

Herunterladen der Mac-Version des Atom-Editors

Herunterladen der Mac-Version des Atom-Editors

Der beliebteste Open-Source-Editor

MinGW – Minimalistisches GNU für Windows

MinGW – Minimalistisches GNU für Windows

Dieses Projekt wird derzeit auf osdn.net/projects/mingw migriert. Sie können uns dort weiterhin folgen. MinGW: Eine native Windows-Portierung der GNU Compiler Collection (GCC), frei verteilbare Importbibliotheken und Header-Dateien zum Erstellen nativer Windows-Anwendungen, einschließlich Erweiterungen der MSVC-Laufzeit zur Unterstützung der C99-Funktionalität. Die gesamte MinGW-Software kann auf 64-Bit-Windows-Plattformen ausgeführt werden.

MantisBT

MantisBT

Mantis ist ein einfach zu implementierendes webbasiertes Tool zur Fehlerverfolgung, das die Fehlerverfolgung von Produkten unterstützen soll. Es erfordert PHP, MySQL und einen Webserver. Schauen Sie sich unsere Demo- und Hosting-Services an.

Mehr anzeigen

Heiße Themen

Java-Tutorial
1677
14
CakePHP-Tutorial
1430
52
Laravel-Tutorial
1333
25
PHP-Tutorial
1278
29
C#-Tutorial
1257
24
Mehr anzeigen