PHP 的password_hash() 和password_verify() 函數如何安全地儲存和驗證密碼？

使用PHP 的密碼管理功能安全地儲存和驗證密碼

在Web 應用程式中處理密碼時，安全性至關重要。 PHP 5.5 引進了password_hash() 和password_verify() 函數來協助完成這項關鍵任務。

建立安全雜湊

password_hash() 函數產生一個安全雜湊使用 BCRYPT 等演算法計算給定密碼。要建立哈希，它需要三個參數：密碼本身、雜湊演算法（例如 PASSWORD_BCRYPT）和選項陣列。這些選項包括指定成本（計算因素）和唯一的鹽（隨機生成的數據添加到哈希中以增加其唯一性）。

儲存密碼和鹽

與最初的查詢相反，正確的方法是將雜湊值和鹽都儲存在資料庫中。這是因為password_hash() 傳回一個包含這兩個元素的字串。因此，在 MySQL 語句中，例如：

INSERT INTO users(username, password_hash) VALUES($username, $hashAndSalt);

密碼驗證

當使用者登入時，必須根據儲存的雜湊來驗證他們輸入的密碼。為此，檢索儲存的雜湊（包含雜湊和鹽）並將其傳遞給password_verify()：

if (password_verify($password, $hashAndSalt)) {
    // Verified
}

其他安全措施

超越使用這些功能時，請考慮其他安全措施：

• 使用與資料庫的安全連線（例如，MySQLi 的mysqli_real_connect() 帶 SSL）。
• 防止 SQL 注入攻擊。
• 定期升級 PHP 及其擴充。
• 實施會話管理和速率限制，以防止密碼暴力嘗試。

以上是PHP 的password_hash() 和password_verify() 函數如何安全地儲存和驗證密碼？的詳細內容。更多資訊請關注PHP中文網其他相關文章！