Rumah > Soal Jawab > teks badan
P粉5556827182023-08-25 00:55:35
Ya, anda faham dengan betul, fungsi password_hash() akan menjana garam dengan sendirinya dan memasukkannya ke dalam nilai cincang yang dihasilkan. Adalah betul untuk menyimpan garam dalam pangkalan data, walaupun ia diketahui melakukan tugasnya.
// Hash a new password for storing in the database. // The function automatically generates a cryptographically safe salt. $hashToStoreInDb = password_hash($_POST['password'], PASSWORD_DEFAULT); // Check if the hash of the entered login password, matches the stored hash. // The salt and the cost factor will be extracted from $existingHashFromDb. $isPasswordCorrect = password_verify($_POST['password'], $existingHashFromDb);
Garam kedua yang anda nyatakan (yang disimpan dalam fail) sebenarnya adalah kunci lada atau bahagian pelayan. Jika anda menambahnya sebelum pencincang (sama seperti garam), maka anda menambah lada. Terdapat cara yang lebih baik walaupun, anda boleh mengira cincang dahulu dan kemudian menyulitkan (kedua-dua cara) cincang menggunakan kunci sisi pelayan. Ini membolehkan anda menukar kunci jika perlu.
Bertentangan dengan garam, kunci ini harus dirahsiakan. Orang sering mencampurkannya dan cuba menyembunyikan garam, tetapi lebih baik membiarkan garam melakukan tugasnya dan menambah rahsia dengan kunci.
P粉3774120962023-08-25 00:34:19
Adalah disyorkan untuk menggunakan password_hash
untuk menyimpan kata laluan. Jangan pisahkan mereka ke dalam pangkalan data dan fail.
Katakan kita mempunyai input berikut:
$password = $_POST['password'];
Anda terlebih dahulu mencincang kata laluan dengan melakukan perkara berikut:
$hashed_password = password_hash($password, PASSWORD_DEFAULT);
Kemudian lihat output:
var_dump($hashed_password);
Seperti yang anda lihat, ia dicincang. (Saya andaikan anda mengikuti langkah-langkah ini).
Sekarang anda menyimpan kata laluan cincang ini dalam pangkalan data anda, pastikan lajur kata laluan anda cukup besar untuk menampung nilai cincang (sekurang-kurangnya 60 aksara atau lebih lama) . Apabila pengguna meminta untuk log masuk, anda boleh menyemak kata laluan yang dimasukkan menggunakan cincang dalam pangkalan data, seperti ini:
// Query the database for username and password // ... if(password_verify($password, $hashed_password)) { // If the password inputs matched the hashed password in the database // Do something, you know... log them in. } // Else, Redirect them back to the login page.