【PHP】更安全的密码存储之phpass库及其在CI框架中的使用

作为php初学者，我们一般认为php中自带的MD5加密方式是很安全的，因为MD5不可逆，即攻击者不能从哈希值H(x)中推出x的值。并且MD5加密算法的碰撞几率非常低，即攻击者不能找到两个值x, x'使得H(x) = H(x')。然鹅这种加密方式也是不安全的，只要美剧出所有的常用密码做成一个索引表，就可以推出来原始密码。这张索引表也被称作“彩虹表”。所以我们要寻求一种更为安全的加密方式，即便因为某种原因数据库数据泄露，攻击者也不能通过数据库中的密文密码得到用户原始密码。对密码进行哈希最安全的方法是使用bcrypt算法，开源的phpass库以一个易于使用的类来提供该功能。

一、phpass简介

phpass（发音为“pH pass”）是一个可在PHP应用程序中使用的可移植公共域密码哈希框架 。又称便携式PHP密码哈希框架。该库中中包含一个实现PasswordHash PHP类的PHP源文件，一个演示PasswordHash类使用的小型PHP应用程序，以及便携式哈希的C重新实现（仅用于测试主要实现的正确性）。phpass官网：https://www.openwall.com/phpass/

二、phpass库的下载及使用

1.首先访问phpass官网下载phpass库，根据自己服务器环境的php版本下载相应的phpass版本(此文以php7.2版本为例)，然后将PasswordHash.php文件解压到你的项目目录下。

 2.示例代码test.php

<?php
// 引入 phpass 库
require_once('PasswordHash.php')

// 初始化散列器为不可移植(这样更安全)
$hasher = new PasswordHash(8, false);

// 计算密码的哈希值。$hashedPassword 是一个长度为 60 个字符的字符串.
$hashedPassword = $hasher->HashPassword('123456');

// 你现在可以安全地将 $hashedPassword 保存到数据库中!

// 通过echo $hashedPassword;你会发现每次输出的加密后的值不一样，
// 所以当用户登录时不能直接用用户输入的密码加密后的值和数据库中存储的值进行比较判断。
// 需要调用CheckPassword方法比较用户输入内容（产生的哈希值）和我们之前计算出的哈希值，
// 来判断用户是否输入了正确的密码
$hasher->CheckPassword('001234', $hashedPassword);  // false

$hasher->CheckPassword('123456', $hashedPassword);  // true

三、CI框架中使用phpass库的PasswordHash类

 1.因为CI框架自定义类库命名规则的限制，需要将PasswordHash.php文件名改为Password_hash.php，然后将类名改为Password_hash(可按照CI框架创建类库命名规则自行修改)，然后将该文件放到application/library目录下。

2.修改原类库中的构造方法并添