本文探讨了PHP7中的password_verify方法对于防止时序攻击的重要性,并对比了传统字符串匹配方法,介绍了时序攻击的基本原理及其防御措施。
读了将近一半了,搜了下关于php7的书暂时还没有很好的,继续等
http://php.net/manual/zh/function.password-verify.php
password-verify
这个方法以前没有在意过
起码我这边的做法还是把注册时用的方法再hash一下
然后用字符串去判断跟数据库中的值是否===
没用过这个方法
今天一看,竟然有这个原因
时序攻击(timing attacks)对此函数不起作用。
最简单的度娘解释
在密码学中,时序攻击是一种侧信道攻击,攻击者试图通过分析加密算法的时间执行来推导出密码。每一个逻辑运算在计算机需要时间来执行,根据输入不同,精确测量执行时间,根据执行时间反推出密码。
有这个好处自然还是用一下比较好,正想着改进下
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
