Cet article partage principalement avec vous des exemples sur la façon d'implémenter le cryptage des mots de passe en PHP. En raison de l'algorithme de hachage rapide, il n'est pas recommandé d'utiliser la fonction md5 pour obtenir des mots de passe. génère suffisamment de valeur de sel forte et prendra automatiquement les tours appropriés. password_hash() est un simple wrapper autour de crypt() et est entièrement compatible avec les hachages de mots de passe existants. Il est donc recommandé d'utiliser password_hash().
Créer un hachage du mot de passe
string password_hash ( string $password , integer $algo [, array $options ] )
Vérifier si le mot de passe correspond au hachage
boolean password_verify ( string $password , string $hash )
Exemple :
<?php$hash = password_hash("rasmuslerdorf", PASSWORD_DEFAULT);
if (password_verify('rasmuslerdorf', $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}Conseils d'utilisation :
Ne définissez pas vous-même la valeur du sel lors de la création d'un mot de passe
Raison : Il est fortement recommandé de ne pas générer vous-même la valeur du sel (salt) pour cette fonction. Tant qu'il n'est pas réglé, il créera automatiquement une valeur de sel sûre. Comme mentionné ci-dessus, fournir l'option salt dans PHP 7.0 entraîne un avertissement de dépréciation. La possibilité de fournir manuellement des valeurs de sel pourrait être supprimée dans les futures versions de PHP.
Effectuez des tests de référence sur votre propre serveur et ajustez le paramètre de coût jusqu'à ce que la surcharge de temps de fonction soit inférieure à 100 millisecondes (millisecondes).
Exemple :
<?php/**
* 这个例子对服务器做了基准测试(benchmark),检测服务器能承受多高的 cost
* 在不明显拖慢服务器的情况下可以设置最高的值
* 8-10 是个不错的底线,在服务器够快的情况下,越高越好。
* 以下代码目标为 ≤ 100 毫秒(milliseconds),
* 适合系统处理交互登录。
*/$timeTarget = 0.1; // 100 毫秒(milliseconds)
$cost = 8;do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Appropriate Cost Found: " . $cost;Résultat :
Appropriate Cost Found: 10
Recommandations associées :
analyse de l'algorithme de cryptage du mot de passe utilisateur php
Plusieurs méthodes de cryptage de mot de passe dans les exemples PHP_php
Le cryptage de mot de passe PHP est lent
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Comment pouvez-vous empêcher les attaques de fixation de session?Apr 28, 2025 am 12:25 AMDes méthodes efficaces pour empêcher les attaques fixes de session incluent: 1. Régénérer l'ID de session après que l'utilisateur se connecte; 2. Utilisez un algorithme de génération d'ID de session sécurisé; 3. Mettre en œuvre le mécanisme de délai d'expiration de la session; 4. Cryptez les données de session à l'aide de HTTPS. Ces mesures peuvent garantir que l'application est indestructible lorsqu'il est confronté à des attaques fixes de session.
Comment implémentez-vous l'authentification sans session?Apr 28, 2025 am 12:24 AMLa mise en œuvre d'authentification sans session peut être réalisée à l'aide de JSONWebtokens (JWT), un système d'authentification basé sur des jetons où toutes les informations nécessaires sont stockées dans le jeton sans stockage de session côté serveur. 1) Utilisez JWT pour générer et vérifier les jetons, 2) Assurez-vous que HTTPS est utilisé pour empêcher les jetons d'être interceptés, 3) stocker en toute sécurité les jetons du côté client, 4) Vérifiez les jetons du côté serveur pour empêcher la falsification, 5) implémenter des mécanismes de révocation des jetons, comme l'utilisation des jetons d'accès à court terme et des jetons à long terme.
Quels sont les risques de sécurité communs associés aux séances PHP?Apr 28, 2025 am 12:24 AMLes risques de sécurité des séances PHP incluent principalement le détournement de session, la fixation de session, la prédiction de session et l'empoisonnement de session. 1. Le détournement de session peut être évité en utilisant HTTPS et en protégeant les cookies. 2. La fixation de la session peut être évitée en régénérant l'ID de session avant que l'utilisateur ne se connecte. 3. La prédiction de session doit assurer l'aléatoire et l'imprévisibilité des ID de session. 4. L'empoisonnement de la session peut être évité en vérifiant et en filtrant les données de session.
Comment détruisez-vous une session PHP?Apr 28, 2025 am 12:16 AMPour détruire une session PHP, vous devez d'abord démarrer la session, puis effacer les données et détruire le fichier de session. 1. Utilisez session_start () pour démarrer la session. 2. Utilisez session_unset () pour effacer les données de session. 3. Enfin, utilisez Session_Destroy () pour détruire le fichier de session pour assurer la sécurité des données et la version des ressources.
Comment pouvez-vous modifier le chemin de sauvegarde de session par défaut dans PHP?Apr 28, 2025 am 12:12 AMComment modifier le chemin d'enregistrement de la session par défaut de PHP? Il peut être réalisé via les étapes suivantes: utilisez session_save_path ('/ var / www / sessions'); session_start (); Dans PHP Scripts pour définir le chemin de sauvegarde de session. Set session.save_path = "/ var / www / sessions" dans le fichier php.ini pour modifier le chemin d'enregistrement de session globalement. Utilisez Memcached ou Redis pour stocker des données de session, telles que ini_set ('session.save_handler', 'memcached'); ini_set (
Comment modifiez-vous les données stockées dans une session PHP?Apr 27, 2025 am 12:23 AMTomodifyDatainaphPSession, startTheSessionwithSession_start (), puis utilisez $ _sessiontoset, modifiez, orremovevariables.1) startTheSession.2) setorModifySessionVariblesusing $ _Session.3) retireVariableswithunset (). 4) ClearAllVariblesWithSession_unset (). 5).
Donnez un exemple de stockage d'un tableau dans une session PHP.Apr 27, 2025 am 12:20 AMLes tableaux peuvent être stockés en séances PHP. 1. Démarrez la session et utilisez session_start (). 2. Créez un tableau et stockez-le en $ _SESSION. 3. Récupérez le tableau via $ _SESSION. 4. Optimiser les données de session pour améliorer les performances.
Comment fonctionne la collecte des ordures pour les séances PHP?Apr 27, 2025 am 12:19 AMLa collecte de déchets de session PHP est déclenchée par un mécanisme de probabilité pour nettoyer les données de session expirées. 1) définir le cycle de vie de probabilité de déclenchement et de session dans le fichier de configuration; 2) Vous pouvez utiliser des tâches CRON pour optimiser les applications de haute charge; 3) Vous devez équilibrer la fréquence et les performances de collecte des ordures pour éviter la perte de données.
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Adaptateur de serveur SAP NetWeaver pour Eclipse
Intégrez Eclipse au serveur d'applications SAP NetWeaver.
SublimeText3 version anglaise
Recommandé : version Win, prend en charge les invites de code !
MantisBT
Mantis est un outil Web de suivi des défauts facile à déployer, conçu pour faciliter le suivi des défauts des produits. Cela nécessite PHP, MySQL et un serveur Web. Découvrez nos services de démonstration et d'hébergement.
DVWA
Damn Vulnerable Web App (DVWA) est une application Web PHP/MySQL très vulnérable. Ses principaux objectifs sont d'aider les professionnels de la sécurité à tester leurs compétences et leurs outils dans un environnement juridique, d'aider les développeurs Web à mieux comprendre le processus de sécurisation des applications Web et d'aider les enseignants/étudiants à enseigner/apprendre dans un environnement de classe. Application Web sécurité. L'objectif de DVWA est de mettre en pratique certaines des vulnérabilités Web les plus courantes via une interface simple et directe, avec différents degrés de difficulté. Veuillez noter que ce logiciel
Listes Sec
SecLists est le compagnon ultime du testeur de sécurité. Il s'agit d'une collection de différents types de listes fréquemment utilisées lors des évaluations de sécurité, le tout en un seul endroit. SecLists contribue à rendre les tests de sécurité plus efficaces et productifs en fournissant facilement toutes les listes dont un testeur de sécurité pourrait avoir besoin. Les types de listes incluent les noms d'utilisateur, les mots de passe, les URL, les charges utiles floues, les modèles de données sensibles, les shells Web, etc. Le testeur peut simplement extraire ce référentiel sur une nouvelle machine de test et il aura accès à tous les types de listes dont il a besoin.
