PHP 加密用户密码 How to store passwords safely with PHP and MySQL

最新推荐文章于 2025-08-06 18:55:08 发布
原创 最新推荐文章于 2025-08-06 18:55:08 发布 · 226 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #数据库

本文深入探讨了如何安全地在PHP中存储用户密码,包括使用强哈希函数、随机盐、缓慢哈希算法等策略,并提供了实例代码。同时,介绍了额外的预防黑客攻击的技巧,如限制登录尝试次数、设置强密码政策等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. Do not store password as plain text
  2. Do not try to invent your own password security
  3. Do not ‘encrypt’ passwords
  4. Do not use MD5
  5. Do not use a single site-wide salt
  6. What you should do
  • Use a cryptographically strong hashing function like bcrypt (see PHP's crypt() function).
  • Use a random salt for each password.
  • Use a slow hashing algorithm to make brute force attacks practically impossible.
  • For bonus points, regenerate the hash every time a users logs in.
$username = 'Admin';
$password = 'gf45_gdf#4hg';

// A higher "cost" is more secure but consumes more processing power
$cost = 10;

// Create a random salt
$salt = strtr(base64_encode(mcrypt_create_iv(16, MCRYPT_DEV_URANDOM)), '+', '.');

// Prefix information about the hash so PHP knows how to verify it later.
// "$2a$" Means we're using the Blowfish algorithm. The following two digits are the cost parameter.
$salt = sprintf("$2a$%02d$", $cost) . $salt;

// Value:
// $2a$10$eImiTXuWVxfM37uY4JANjQ==

// Hash the password with the salt
$hash = crypt($password, $salt);

// Value:
// $2a$10$eImiTXuWVxfM37uY4JANjOL.oTxqp7WylW7FCzx2Lc7VLmdJIddZq

 

In the above example we turned a reasonably strong password into a hash that we can safely store in a database. The next time the user logs in we can validate the password as follows:

$username = 'Admin';
$password = 'gf45_gdf#4hg';

// For brevity, code to establish a database connection has been left out

$sth = $dbh->prepare('
  SELECT
    hash
  FROM users
  WHERE
    username = :username
  LIMIT 1
  ');

$sth->bindParam(':username', $username);

$sth->execute();

$user = $sth->fetch(PDO::FETCH_OBJ);

// Hashing the password with its hash as the salt returns the same hash
if ( hash_equals($user->hash, crypt($password, $user->hash)) ) {
  // Ok!
}

 

A few additional tips to prevent user accounts from being hacked:

  • Limit the number of failed login attempts.
  • Require strong passwords.
  • Do not limit passwords to a certain length (remember, you're only storing a hash so length doesn't matter).
  • Allow special characters in passwords, there is no reason not to.

注意:hash_equals (PHP 5 >= 5.6.0) 如果你的php版本 phpversion()不够,可以尝试使用下面的代码

原文:https://alias.io/2010/01/store-passwords-safely-with-php-and-mysql/

 

password_compat

 This library requires PHP >= 5.3.7 OR a version that has the $2y fix backported into it (such as RedHat provides). Note that Debian's 5.3.3 version is NOT supported.

使用前,用下面代码测试当前域名是否可以用这个password_compat

<?php
require "lib/password.php";
echo "Test for functionality of compat library: " . (PasswordCompatbinarycheck() ? "Pass" : "Fail");
echo "n";

 

Usage

Creating Password Hashes

To create a password hash from a password, simply use the password_hash function.

$hash = password_hash($password, PASSWORD_BCRYPT);

 

Note that the algorithm that we chose is PASSWORD_BCRYPT. That's the current strongest algorithm supported. This is the BCRYPT crypt algorithm. It produces a 60 character hash as the result.

 

BCRYPT also allows for you to define a cost parameter in the options array. This allows for you to change the CPU cost of the algorithm:

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 10));

 

That's the same as the default. The cost can range from 4 to 31. I would suggest that you use the highest cost that you can, while keeping response time reasonable (I target between 0.1 and 0.5 seconds for a hash, depending on use-case).

 

Another algorithm name is supported:

    PASSWORD_DEFAULT

This will use the strongest algorithm available to PHP at the current time. Presently, this is the same as specifying PASSWORD_BCRYPT. But in future versions of PHP, it may be updated to use a stronger algorithm if one is introduced. It can also be changed if a problem is identified with the BCRYPT algorithm. Note that if you use this option, you are strongly encouraged to store it in a VARCHAR(255) column to avoid truncation issues if a future algorithm increases the length of the generated hash.

 

It is very important that you should check the return value of password_hash prior to storing it, because a false may be returned if it encountered an error.

 

Verifying Password Hashes

To verify a hash created by password_hash, simply call:

    if (password_verify($password, $hash)) {
        /* Valid */
    } else {
        /* Invalid */
    }

 

That's all there is to it.

 

Rehashing Passwords

From time to time you may update your hashing parameters (algorithm, cost, etc). So a function to determine if rehashing is necessary is available:

    if (password_verify($password, $hash)) {
        if (password_needs_rehash($hash, $algorithm, $options)) {
            $hash = password_hash($password, $algorithm, $options);
            /* Store new hash in db */
        }
    }

 

 

项目地址:https://github.com/ircmaxell/password_compat

下载:password_compat-master

 

转自:PHP 加密用户密码 How to store passwords safely with PHP and MySQL

 

 

C++课设:实现简易文件加密工具(凯撒密码、异或加密、Base64编码)
Code_流苏:在代码中寻诗意,在实践中觅真知
06-07 1159
用C++从零构建一个简易但功能完善的文件加密工具,支持凯撒密码、异或加密和Base64编码三种经典算法。
How to Create a Password That is Actually Secure
Ph'nglui mglw'nafh Cthulhu R'lyeh wgah'nagl fhtagn!
12-06 885
https://www.freecodecamp.org/news/actually-secure-passwords/ 从前人们期望用数字符号之类的变形增加密码的复杂度。这篇短文表示这种办法是过时的了,在现在这个时代,对增加破译难度并没有什么作用,只是无谓的增加记忆密码的难度。 例如 Tr0ub4dor&3 这样的密码,需要记忆 T 是否大写 、04o 的替换关系、还有单词、符号。很难记...
密码兼容库(password_compat)使用指南
gitblog_01157的博客
08-13 409
密码兼容库(password_compat)使用指南 目录结构及介绍 密码兼容库(password_compat)旨在为旧版PHP提供与PHP 5.5及以上版本中password_系列函数相匹配的功能。其目录结构简洁明了: 根目录下主要文件: lib: 包含了核心兼容功能代码。 Password.php: 提供了password_系列函数的实现。 tests: 测试文件目录。 内容用于验...
php salt 加密,php – 如何为一个密码实现sha 512,md5和salt加密
weixin_29054245的博客
03-10 513
编辑:由于这个答案似乎仍然引起了一些兴趣,让我引导你们走向password_hash(),这本质上是一个关于crypt()的包装,但更简单易用.如果您使用的是PHP< 5.5,那么password_compat是由同一个人编写的,实际上是与官方文档相关联的.如果您已经在使用crypt(),那么值得注意的是password_verify()和password_needs_rehash()都可以...
[示例][PHP]password_compat-masterPHP5.5密码功能PHP库.zip
12-15
相信很多PHP开发者在最先接触PHP的时候,处理密码的首选加密函数可能就是MD5了,我当时就是这样的: $password = md5($_POST["password"]); 上面这段代码是不是很熟悉?然而MD5的加密方式目前在PHP的江湖中貌似不太受欢迎了,因为它的加密算法实在是显得有点简单了,而且很多破解密码的站点都存放了很多经过MD5加密密码字符串,所以这里我是非常不提倡还在单单使用MD5来加密用户密码的。 SHA256 和 SHA512 其实跟前面的MD5同期的还有一个SHA1加密方式的,不过也是算法比较简单,所以这里就一笔带过吧。而这里即将要说到的SHA256 和 SHA512都是来自于SHA2家族的加密函数,看名字可能你就猜的出来了,这两个加密方式分别生成256和512比特长度的hash字串。
PHP 密码哈希password_hash的使用方法
郎涯技术
12-18 5962
每个人在建构 PHP 应用时终究都会加入用户登录的模块。用户的帐号及密码会被储存在数据库中,在登录时用来验证用户。 在存储密码前正确的 哈希密码 是非常重要的。哈希密码是单向不可逆的,该哈希值是一段固定长度的字符串且无法逆向推算出原始密码。这就代表你可以哈希另一串密码,来比较两者是否是同一个密码,但又无需知道原始的密码。如果你不将密码哈希,那么当未授权的第三者进入你的数据库时,所有用户的帐号资料将...
php crypt mysql password_PHP 加密用户密码 How to store passwords safely with PHP and MySQL
weixin_35146639的博客
02-08 135
Do not store password as plain textDo not try to invent your own password securityDo not ‘encrypt’ passwordsDo not use MD5Do not use a single site-wide saltWhat you should doUse a cryptographically st...
PowerShell加密SQL Server的密码技术
culuo4781的博客
07-17 379
挑战 (Challenge) Automating SQL Server tasks with PowerShell can increase productivity and save time, but how do use PowerShell encrypt password techniques to avoid saving them as plain text. This ...
PHP配置文件
Jerry_Dui的专栏
11-12 4358
从开始使用PHP到现在已经快2年多了,但是从来没有仔细看过php.ini。利用周末这两天断断续续将里面的注释翻译成了中文,感觉看到了很多以前从来没有关注过的配置,但是却曾经使用过与这些配置相关的功能或扩展模块,大脑因此也装进了一些新的东西。或许现在有些配置看不懂或者用不到,但是想想自己对这份配置文件有了一些印象,以后遇到了跟配置PHP相关的问题应该会有一点点思路吧?!同时看英文文档的水平也提高了些
PasswordResetPHPPHPMySQL,具有安全密码重置功能的FileMaker用户注册系统,并将多个文件上传到您的服务器,FileMaker Container字段或Cloudinary
02-11
您可以将MySQL或FileMaker用作数据库。 包括示例MySQL和FileMaker数据库。 FileMaker数据库包含用于动态创建FileMaker帐户并将上传的文件放入容器字段的脚本。 注意:FileMaker用户名是Admin,密码是admin。 注意...
PHP中散列密码的安全性分析
01-02
很多应用,都是将用户密码都是直接通过md5加密直接存储到数据库中的,包括我最近在用的开源项目zabbix的web管理界面。 $password = 1234; $hash = md5($password); echo $res; php常用的哈希函数有md5和sha1,...
passwordcockpit:Passwordcockpit是一个简单,免费,开源,自托管,基于Web的团队密码管理器。 它由PHP,Javascript,MySQL制成,并在docker服务上运行。 它允许使用任何类型设备的用户安全地存储,共享和检索密码,证书,文件等
02-06
它允许使用任何类型设备的用户安全地存储,共享和检索密码,证书,文件等。 指数 用法 使用docker-compose完成安装。 请查看以获取更多信息。 Passwordcockpit 映像在内提供。 首先,只需将复制到一个文件夹并按照...
php忘记密码的实现代码,短代码实现前台用户重置密码功能
weixin_39626613的博客
03-12 752
在为客户直至用户中心的时候,需要实现已经登录用户重置密码的功能,我们可以通过短代码在主题的任何位置插入重置密码的表单:第一步:在functions当中插入如下代码:function pippin_change_password_form() {global $post;if (is_singular()) :$current_url = get_permalink($post->ID);el...
Java 随机数生成器 Random & SecureRandom 原理分析
热门推荐
albon arith
06-22 3万+
文章目录java.util.Randomjava.Security.SecureRandom/dev/random 与 /dev/urandom资料 Java 里提供了一些用于生成随机数的工具类,这里分析一下其实现原理,以及他们之间的区别、使用场景。 java.util.Random Random 是比较常用的随机数生成类,它的基本信息在类的注释里都写到了,下面是 JDK8 里该类的注释: /**...
PHP-分支语句、while循环、for循环
m0_46471716的博客
08-04 908
default 标签和 if 中的 else 子句一样,它不是 switch 语句中必需的,可以。else if 语句和 else 语句一样,它延伸了 if 语句,else if 语句会根据不同的表达式来确定执行哪个语句。在上面的 else if 的语法中,如果第一个“判断条件 1”为 TRUE,则执行“语句块 1”语句;else 语句延伸了 if 语句,可以在 if 语句中表达式的值为 FALSE 时执行相应的语句。与 if 语句相同的是,如果“语句块 1”和“语句块 2”中都只包含一条语句的话,可。
基于PHP的快递管理系统的设计与实现
最新发布
weixin_47958760的博客
08-06 408
管理员: 登录:管理员可以通过用户名和密码登录系统,进入管理员后台管理界面。 个人中心:管理员可以查看和编辑个人信息,如姓名、联系方式等。 用户管理:管理员可以管理系统中的用户信息,包括添加新用户、编辑用户信息、查看用户列表、禁用或删除用户等操作。 取件通知管理:管理员可以管理取件通知,包括查看取件通知列表、发送取件通知、修改取件通知内容等。 快递信息管理:管理员可以管理系统中的快递信息,包括录入快递信息、查看快递详情、修改快递状态等操作。 取件信息管理:管理员可以管理用户的取件信息,包括记录用户的取件时间
从「同步」到「异步」:用 aiohttp 把 Python 网络 I/O 榨到极致
Y234567890_的博客
08-05 938
本文探讨了Python中IO瓶颈问题及异步编程优势。通过对比同步请求、线程池和异步协程三种方案下载100张图片的性能表现,展示了aiohttp框架在并发处理上的高效性。同步方案耗时22秒,20线程池降至2.7秒,而异步方案仅需2.4秒且内存占用更低。文章详细解析了aiohttp客户端/服务端实现,包括连接控制、错误处理和流量限制等关键点,并对比了同步与异步的心智模型差异。最后给出实践建议:aiohttp适合高并发网络IO场景,但不适用于CPU密集型任务。异步编程的核心价值在于最大化利用CPU资源,将等待时间
安全密码重置与多文件上传的PHP用户注册系统开发
### PHPMySQL、FileMaker在Web开发中的应用 在现代的Web开发实践中,PHPMySQL和...需要注意的是,项目中提到的密码以明文存储只是为了演示目的,实际上应该使用加密哈希函数来处理密码,以保护用户信息安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值