php使用bcrypt算法加密用户密码的函数password_hash()

最新推荐文章于 2025-03-09 00:14:12 发布
最新推荐文章于 2025-03-09 00:14:12 发布
阅读量564 收藏
点赞数
分类专栏: php学习笔记 文章标签: 哈希算法 算法 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cdcdhj/article/details/127139459
版权
本文介绍了一个用于创建密码散列的函数实现,该函数使用bcrypt算法,并详细解释了如何生成安全的salt,设置cost参数以及如何处理不同环境下的随机数生成。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

if(!function_exists('password_hash')){
	/*
	*
	*password_hash()	使用足够强度的单向散列算法创建密码的散列(hash)
	*@param string 	$password 	用户密码
	*@param int 	$algo		指示算法的密码算法常量,就是指定一个算法,这里可以填写PASSWORD_DEFAULT和PASSWORD_BCRYPT,其它不行因为指定了bcrypt
	*@param array 	$options 	一个包含有选项的关联数组,如果省略将使用随机字符与默认cost
	*@return mixed				返回散列后的密码
	*@link 			https://secure.php.net/password_hash
	*
	*/
	
	function password_hash($password,$algo,array $options=array())
	{
		static $func_overload;
		isset($func_overload) or $func_overload=(extension_loaded('mbstring') && ini_get('mbstring.func_overload'));
		
		if($algo!==1)
		{
			trigger_error('password_hash(): 未知的希哈算法:'.(int)$algo,E_USER_WARNING);
			return null;
		}
		
		//两位 cost 参数是循环次数以 2 为底的对数,它的范围是 04-31,超出这个范围将导致 crypt() 失败。
		if(isset($options['cost']) && ($options['cost'] < 4 or $options['cost'] > 31))
		{
			trigger_error('password_hash(): 指定的bcrypt cost 参数值无效: '.(int)$options['cost'],E_USER_WARNING);
			return null;
		}
		
		//我找到的所有资源都说,盐的长度为22,并且它与算法,成本和结果字符串中的实际哈希值一起存储.
		//在PHP函数中,不推荐使用手动哈希的password_hash.相反,我们鼓励人们自动设置password_hash,因为它会更安心
		if(isset($options['salt']) && ($saltlen=($func_overload ? mb_strlen($options['salt'],'8bit') : strlen($options['salt'])))<22){
			trigger_error('password_hash(): 提供的salt 太短: '.$saltlen.' expecting 22,应该是22位',E_USER_WARNING);
			return null;
		}
		elseif(!isset($options['salt']))
		{
			if(function_exists('random_bytes'))
			{
				try{
					//生成适合于加密使用的任意长度的加密随机字节字符串,例如在生成salt、密钥或初始化向量时,
					//一般配合bin2hex()使用,如果bin2hex(random_bytes(16))
					$options['salt']=random_bytes(16);
				}
				catch(Exception $e)
				{
					log_message('error','compat/password: 尝试用random_bytes()但发生错误: '.$e->getMessage());
					return false;
				}
			}
			elseif(defined('MCRYPT_DEV_URANDOM'))
			{
				//string mcrypt_create_iv ( int$size [, int$source = MCRYPT_DEV_URANDOM ] )
				//使用 Mcrypt进行数据加密。解密之前,首先要创建一个初始化向量(简称 iv)。创建初始化向量需要两个参数:size 指定了iv的大小source为iv的源source可以取如下值:
				//MCRYPT_DEV_URANDOM:读取目录/dev/urandom中的数据(UNIX系统)。
				$options['salt']=mcrypt_create_iv(16,MCRYPT_DEV_URANDOM);
			}
			//is_readable()判断给定文件名是否可读
			elseif(DIRECTORY_SEPARATOR==='/' && (is_readable($dev='/dev/arandom') or is_readable($dev='dev/urandom')))
			{
				if(($fp=fopen($dev,'rb'))===false)
				{
					log_message('error','compat/password: 不能打开:'.$dev.' 读取失败。');
					return false;
				}
				
				//设置资源流区块大小
				stream_set_chunk_size($fp,16);
				
				$options['salt']='';
				for($read=0;$read<16;$read=($func_overload) ? mb_string($options['salt'],'8bit') : strlen($options['salt']))
				{
					if(($read=fread($fp,16-$read))===false)
					{
						log_message('error','compat/password: 读取时发生错误:'.$dev.' ');
						return false;
					}
					$options['salt'] .= $read;
				}
				fclose($fp);
			}
			elseif(function_exists('openssl_random_pseudo_bytes'))
			{
				$is_secure=null;
				//openssl_random_pseudo_bytes()生成一个伪随机字节串由length参数指定,需要开启openssl扩展
				//第二个参数是自动为true,很少为false,除非是老系统
				$options['salt']=openssl_random_pseudo_bytes(16,$is_secure);
				
				if($is_secure!==true)
				{
					log_message('error','compat/password: openssl_random_pseudo_bytes() 将$cryto_strong标志设置为false');
					return false;
				}
			}
			else
			{
				log_message('error','compat/password: 没有可用的CSPRNG');
				return false;
			}
			
			//对以上在某种方式下产生的$options['salt']结果进行base64_encode编码
			//编码是为了使二进制数据可以通过非纯8-bit的传输层传输
			$options['salt']=str_replace('+','.',rtrim(base64_encode($options['salt']),'='));
		}
		//#^[a-zA-Z0-9./]+$#D以字母数字,点和斜线为开头的字符,D只是限制$末尾字符
		elseif(! preg_match('#^[a-zA-Z0-9./]+$#D',$options['salt']))
		{
			$options['salt']=str_replace('+','.',rtrim(base64_encode($options['salt']),'='));
		}
		
		isset($options['cost']) or $options['cost']=10;
		
		return (strlen($password=crypt($password,sprintf('$2y$%02d%s',$options['cost'],$options['salt']))) === 60)
				? $password
				: false;
	}
}
$options=[
	'cost'=>12,
];
$pass=password_hash('123456',PASSWORD_BCRYPT,$options);
$info=password_get_info($pass);
echo $pass."<br>";
var_dump($info);
Flask框架中的generate_password_hash 方法
u013039977的博客
12-10 501
generate_password_hash 是一个简单而强大的工具,用于安全地存储用户密码,同时防止常见的密码存储风险。在现代 Flask 应用中,配合 check_password_hash,它可以轻松实现用户密码加密与验证。提供的一种方法,用于生成安全的密码哈希值。• 返回的是一个字符串形式的哈希值,包含了算法信息、盐值和加密后的密码。:引入随机盐值,即使用使用相同的密码,生成的哈希值也不同。: (必需)要加密的明文密码,通常是用户提供的字符串。:存储用户密码的哈希值,而不是明文密码
SpringSecurity密码编码器:使用BCrypt算法加密、自定义密码编码器
pan_junbiao的博客
02-05 1124
Spring Security 作为一个功能完备的安全性框架,一方面提供用于完成加密操作的 PasswordEncoder 组件,另一方面提供一个可以在应用程序中独立使用密码模块。在 Spring Security 中,PasswordEncoder 接口代表的是一种密码编码器,用于指定密码的具体加密方式,以及如何在给定的一段加密字符串与明文之间完成匹配校验。尽管 Spring Security 提供了丰富的 PasswordEncoder 接口的实现类,但我们也可以通过自定义接口来设计满足自身需求。
如何使用bcryptPHP中对密码进行哈希处理?
p15097962069的博客
12-28 877
我时不时听到“使用bcryptPHP使用密码bcrypt规则存储密码”的建议。 但是bcrypt是什么? PHP不提供任何此类功能,维基百科对文件加密实用程序不屑一顾,而Web搜索仅
php 密码加密password_hash
热门推荐
技术的搬运工
03-14 1万+
只要不设置,它会自动创建安全的盐值。就像以上提及的,在 PHP 7.0 提供 salt选项会导致废弃(deprecation)警告。未来的 PHP 发行版里,手动提供盐值的功能可能会被删掉。注意,该常量会随着 PHP 加入更新更高强度的算法而改变。所以,使用此常量生成结果的长度将在未来有变化。因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。2、 在自己的服务器上做基准测试,调整 cost 参数直至函数时间开销小于 100 毫秒(milliseconds)。
PHPpassword_hash一共包含哪些部分?使用场景是什么?底层原理是什么?
最新发布
长风破浪会有时的博客
03-09 959
1. 为什么需要?安全性使用现代加密算法(如 Bcrypt 和 Argon2),提供高安全性。自动加盐自动生成随机盐值,防止彩虹表攻击。简单易用提供简单的接口,避免手动实现复杂的加密逻辑。2. 底层原理总结加密算法默认使用 Bcrypt 算法,支持 Argon2 算法。加盐机制自动生成随机盐值,增强安全性。计算成本通过cost参数控制哈希计算的复杂度。不可逆性哈希值是单向加密的,无法还原原始密码。3. 注意事项性能优化根据服务器性能调整cost。
PHPpassword_hash()使用实例
Just Code
10-23 1027
一、前言PHP5.5 (PHP 5 &gt;= 5.5.0) 提供了许多新特性及Api函数,其中之一就是Password Hashing API(创建和校验哈希密码)。它包含4个函数password_get_info()password_hash()password_needs_rehash()password_verify()。 在PHP5.5之前,我们对于密码加密可能更多的是采...
PHP函数password_hash“ 哈希密码
ljh574649119的专栏
02-23 1317
需要注意的是,password_verify 函数的第一个参数是用户输入的密码,第二个参数是数据库中存储的哈希密码。值得注意的是,使用 password_hash 函数进行密码哈希处理时,PHP会自动为每个密码生成一个独一无二的盐值,这个盐值会与密码一起存储在哈希密码中,从而增加密码的安全性。在使用 "password_hash" 函数进行密码哈希处理时,我们不需要手动进行加盐操作,也不需要关心加盐的具体实现,PHP会自动完成这些工作,保证密码的安全性。// 存储哈希后的密码到数据库。
PHP 用户密码加密函数password_hash
weixin_30463341的博客
07-11 250
传统的用户名和密码都采用加盐的方式存储加密信息,盐值也需要存储。 自PHP5.5.0之后,新增加了密码散列算法函数password_hash),password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 password_hash() 兼容 crypt()。 所以, crypt() 创建的密码散列也可用于 password_hash()password_has...
php5密码加密方式,PHP5.5使用Bcrypt加密密码
weixin_35411443的博客
03-24 428
php5.5中,加入了一个新的密码哈希函数,可使用Bcrypt轻松实现加盐的安全密码bcrypt和其他对称或非对称加密方式不同的是,不是直接解密得到明文,也不是二次加密比较密文,而是把明文和存储的密文一块运算得到另一个密文,如果这两个密文相同则验证成功。官方手册在这里: http://cn2.php.net/manual/zh/book.password.php生成密钥$hash = pass...
使用PHP函数password_hash“ 哈希密码
希望我的博客,能帮上你解决学习中工作中所遇到的问题
12-28 628
总之,使用PHP函数 "password_hash" 进行密码哈希处理可以提高密码的安全性,防止用户密码泄露。在使用 "password_hash" 函数进行密码哈希处理时,我们不需要手动进行加盐操作,也不需要关心加盐的具体实现,PHP会自动完成这些工作,保证密码的安全性。函数的第一个参数是用户输入的密码,第二个参数是数据库中存储的哈希密码函数进行密码哈希处理时,PHP会自动为每个密码生成一个独一无二的盐值,这个盐值会与密码一起存储在哈希密码中,从而增加密码的安全性。当用户登录时,我们可以通过调用。
PHP更安全的密码加密机制Bcrypt详解
10-19
主要给大家介绍了关于PHP更安全的密码加密机制Bcrypt的相关资料,文中介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧。
php crypt salt,了解PHP password_hash使用bcrypt salt
weixin_31539461的博客
03-13 203
Problem 1: What is the correct salt length?All sources I found say, that the salt has a length of 22 and that it is stored together with the algorithm, the costs and the actual hash value in the resul...
PHP解密函数 password_hash() 函数 password_verify() 函数
归子莫的博客
02-28 2725
PHP解密函数 password_hash() 函数 password_verify() 函数 password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 password_hash() 兼容 crypt()。 所以, crypt() 创建的密码散列也可用于 password_hash()password_hash($param['password'], PASS...
PHPBcrypt加密和验证
彭世瑜的博客
06-02 1804
// 生成密码 echo password_hash('123456', PASSWORD_DEFAULT); // $2y$10$pGi52d1iVOg1zKHjVc8g3Op1txGLNNyRTl46HKwOq7j9SufV5aEQ6 // 正确的密码 var_dump(password_verify('123456', '$2y$10$pGi52d1iVOg1zKHjVc8g3Op1txGLNNyRTl46HKwOq7j9SufV5aEQ6')); // bool(true) // 错误的密码 v
php password_hash加密
小山的博客
07-30 423
这个函数php5新特性。用于密码加密。我们在开发中经常使用md5进行加密,通常是原密码加密码盐的方式。 password_hash()用于加密更加安全。 string password_hash ( string $password , integer $algo [, array $options ]); 前两个参数为必填,后一个参数可选。例如: string password_h...
password_hash使用
glenshappy的专栏
07-09 621
PHP 密码散列算法 password_hash() 函数用于创建密码的散列(hashPHP 版本要求: PHP 5 >= 5.5.0, PHP 7 语法 string password_hash ( string $password , int $algo [, array $options ] ) password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 password_hash() 兼容 crypt()。 所以, crypt() 创建的...
PHP-Bcrypt 加密密码加密方式
廖圣平
12-27 4263
介绍 函数password_hash(); 每次生成的密码都不一样,不像md5 ,生成固定的一个值。 实战 echo password_hash('123456', PASSWORD_DEFAULT); 你会发现,每次生成的值都不一样。那怎么验证这个值就是123456; php内置密码验证 if (password_verify(123456,$data)) { ...
php bcrypt 算法,Bcrypt加密算法简介
weixin_39613433的博客
03-28 221
浅谈我对C&num;中抽象类与接口的理解C#中的抽象类与接口有些相似,初学者很容易混淆,今天就让我来谈谈对二者的理解. 首先我们得明确二者的含义,分述如下: 如果一个类不与具体的事物相联系,而只是表达一种抽象的概念,仅仅是作为其派生类的一个 ...Oracle触发器原理、创建、修改、删除本篇主要内容如下: 8.1 触发器类型 8.1.1 DML触发器 8.1.2 替代触发器 8.1.3 系...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值