PHP의 `password_hash()`를 사용할 때 솔트를 별도로 저장해야 합니까?

보안 비밀번호 저장을 위해 PHP 5.5의 비밀번호 해시 및 비밀번호 확인 기능 사용

질문:

PHP 5.5의 Password_hash() 함수를 사용하는 경우 사용자 비밀번호를 저장하려면 솔트를 해시와 별도로 저장해야 합니까?

답변:

아니요, 솔트를 해시와 별도로 저장하는 것은 올바르지 않습니다. Password_hash() 함수는 해시와 솔트를 모두 포함하는 문자열을 생성합니다. 올바른 사용 방법은 다음과 같습니다.

$hashAndSalt = password_hash($password, PASSWORD_BCRYPT);
// Insert $hashAndSalt into database against user

비밀번호를 확인하려면:

if (password_verify($password, $hashAndSalt)) {
    // Verified
}

이 접근 방식은 공격자가 솔트에 액세스하고 해시를 손상시키는 것을 방지하므로 최적의 보안을 제공합니다. 또한, PHP 5.5에서 더 이상 사용되지 않는 ext/mysql 대신 mysqli를 사용하는 것이 좋으며, SQL 주입 취약점에 유의하시기 바랍니다.

위 내용은 PHP의 `password_hash()`를 사용할 때 솔트를 별도로 저장해야 합니까?의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!