md5+salt与password_hash()

最新推荐文章于 2025-06-30 10:17:05 发布
最新推荐文章于 2025-06-30 10:17:05 发布
阅读量3k 收藏 3
点赞数 1
CC 4.0 BY-SA版权
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_41195218/article/details/78996687
本文介绍了MD5+Salt的密码加密方法及其局限性,并详细讲解了PHP5.5中提供的PasswordHashingAPI,包括password_hash和password_verify函数的使用方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

md5+salt

 

 直接使用MD5()加密,是很容易被破解的(犹记得曾经忘记密码,到处找免费的破解网站...),但加上salt想要破解就难上很多了,即使你获得salt和最终密文,想要破解也是十分困难的。

 如何实现md5+salt?很简单,密码连接一个随机字符串即可。

function md5_salt_hash($pass)
{
    $salt = ‘5f9901fc60b7669’; //定义一个salt值,最好足够长,或者随机
    return md5($pass, $salt);
}


password_hash

 

 PHP5.5引入了Password Hashing函数,内核自带无需安装扩展,使用起来十分方便。它属于Password Hashing API(创建和校验哈希密码)函数之一。

 Password Hashing API包含4个函数:

 password_hash()password_verify()password_get_info()password_needs_rehash()

 

 string password_hash(string $password, integer $algo [, array $options ])

 参数:

 $password 密码

 $algo  哈希算法

 $options  选项

 实例:

$pwd = "123456";
$hash = password_hash($pwd, PASSWORD_DEFAULT);
echo $hash;


 上例输出结果类似:$$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a,并且刷新页面该哈希值也会不断的变化。


 哈希值创建完毕,我们可以用password_verify()来校验密码是否和哈希值匹配。


 boolean password_verify ( string $password , string $hash )

 它接收2个参数:密码和哈希值,并返回布尔值。检查之前生成的哈希值是否和密码匹配,代码:

if (password_verify($pwd,'$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a')) {  
    echo "密码正确";
} else {  
    echo "密码错误";
}


 基本上使用以上这2个函数就能安全的创建和校验hash密码了。

 

总结


MD5+salt加密 可跨语言加密解密。

password_hash加密 只能通过phppassword_verfiy校验。




python中md5加密md5+salt加密
weixin_49430149的博客
08-01 1542
例如随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。提示以下是本篇文章正文内容,下面案例可供参考首先本文对md5加密算法进行了简单的介绍,并编写了相关的python语法。...
md5、sha1+salt和Bcrypt对比
无名剑
10-10 7395
引言 用md5/sha1+salt的方法保存密码是不安全的. 文章中用连续9个Bcrypt加感叹号来强调, 保存密码推荐用Bcrypt. csdn.net两天前把数据库弄丢了, 里面的密码是明文保存的. 我对密码和安全没有研究, 但是在我粗浅的记忆中, hash+salt是非常主流的方法. 如果说这样也不靠谱, 那我正好借这个机会复习一下. 密码等级我把密码安全分为两个等级, 黄色和红色. 当数据库
如何给MD5加上salt随机盐值
10-21
不知道大家知不知道,在开发的时候如果直接给密码散列,黑客可以通过查散列值字典(例如MD5密码破解网站),得到某用户的密码。但如果加上salt后就会难上很多,即便是你获得了其中的salt和最终密文,破解也是相当麻烦的。下面跟着小编通过这篇文章来一起学习学习吧。
python MD5加密 md5(md5($pass).$salt)加密方式
zhaochongsi的博客
08-12 3431
MD5加密之md5(md5(pass).pass).pass).salt)加密方式 md5(md5(pass).pass).pass).salt)加密方式是指先对原文MD5加密,再对原文的MD5结合密码盐后再MD5加密。 代码如下: from hashlib import md5 def encode_md5(pwd, salt): md5_text = md5() md5_en = md5() #原文MD5加密 md5_text.update(pwd.encode("gb2
【加解密C】HASH系列(二)MD5
geesehoward20000的博客
06-30 438
MD5(Message Digest Algorithm 5)是一种广泛使用的哈希算法,由Ronald Rivest于1991年设计。它将任意长度的输入数据转换为固定长度(128位,即32个字符)的哈希值,常用于验证数据完整性或存储密码(现已被更安全的算法取代)。
MD5加密算法 +(salt)
2301_76535717的博客
07-01 2743
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。
md5加密+盐度Salt
qq_41060065的博客
06-15 3856
MD5信息摘要算法(英语:MD5 Message-Digest Algorithm),一种被广泛使用的密码散列函数,可以产生出一个128位(16字节)的散列值(hash value),用于确保信息传输完整一致。 想要做一个web网站,入口得搭建好,用户的信息数据也要统一保护好,保护不好会造成安全隐患,一般情况用户个人信息中的账户密码是不被管理员允许看到的,所以要对用户的账户进行加密,我用的是MD5算法 思路 1.用户注册 密码经过后台加盐度 和一个salt插入到数据库中 2.用户登录先查询数据库中的salt
在前端对登录密码进行加密,md5+盐值
共同进步
06-16 5076
在前端对登录密码进行加密,md5+盐值 场景:前端制定规则账号密码,后端不进行参,完全就是前端进行校验缺点:对于现在网络发达的时代,大部分人随便攻击你的网站就可以看到你的账号密码这样就可以轻松进入你的网站、不安全。优点:基本没有,除非就是临时搭建 不需要后端。
PHP的password_hash()使用实例
12-18
因此,开发者需要根据具体需求权衡使用传统的哈希算法(如MD5+salt)还是使用`password_hash()`。 在选择密码处理方式时,应该考虑安全性和兼容性。如果系统的安全性是首要考虑因素,那么`password_hash()`是更好的...
在注释的格式和层次以及清晰度上进一步调整下: static bool login_sm3_psw(PgSocket *server, const uint8_t *salt) { char txt[SM3_DIGEST_LENGTH * 2 + 4]; // "sm3" + 64 hex chars + null char step1_hex[SM3_DIGEST_LENGTH * 2 + 1]; const char *src; PgUser *user = get_srv_psw(server); slog_debug(server, "P: send sm3 password"); switch (get_password_type(user->passwd)) { case PASSWORD_TYPE_PLAINTEXT: /* 第一步:计算 sm3(password + username) */ { size_t user_len = strlen(user->name); size_t pass_len = strlen(user->passwd); char *combined = malloc(user_len + pass_len); if (!combined) return false; memcpy(combined, user->passwd, pass_len); memcpy(combined + pass_len, user->name, user_len); if (!pg_sm3_hash(combined, pass_len + user_len, step1_hex)) { free(combined); return false; } free(combined); src = step1_hex; } break; case PASSWORD_TYPE_SM3: // 直接使用存储的SM3哈希值 if (strlen(user->passwd) < 3 + SM3_DIGEST_LENGTH * 2) { slog_error(server, "invalid SM3 password format"); return false; } src = user->passwd + 3; // 跳过"sm3"前缀 break; default: slog_error(server, "cannot do SM3 authentication: wrong password type"); kill_pool_logins(server->pool, "server login failed: wrong password type"); return false; } /* 第二步: 计算 sm3(hex_hash + salt) */ char step2_input[SM3_DIGEST_LENGTH * 2 + SM3_SALT_LENGTH + 1]; memcpy(step2_input, src, SM3_DIGEST_LENGTH * 2); memcpy(step2_input + SM3_DIGEST_LENGTH * 2, (char*)salt, SM3_SALT_LENGTH); // 计算最终哈希 char final_hash[SM3_DIGEST_LENGTH * 2 + 1]; if (!pg_sm3_hash(step2_input, SM3_DIGEST_LENGTH * 2 + SM3_SALT_LENGTH, final_hash)) { return false; } // 构造 "sm3" + hex_hash 格式 memcpy(txt, "sm3", 3); memcpy(txt + 3, final_hash, SM3_DIGEST_LENGTH * 2); txt[3 + SM3_DIGEST_LENGTH * 2] = '\0'; return send_password(server, txt); }
最新发布
07-18
pg_sm3_hash(step2_input, SM3_DIGEST_LENGTH * 2 + SM3_SALT_LENGTH, final_hash)) { return false; // SM3计算失败 } /* ======================== 构造认证响应 ======================== */ // 格式:"sm3...
根据上次回复, pgbouncer/include/util.h 里做了调整: #define MD5_PASSWD_LEN 35 #define SM3_PASSWD_LEN 83 // (3 + SM3_SALT_LENGTH*2 + SM3_DIGEST_LENGTH*2) pgbouncer/src/client.c 里做了调整: bool validate_sm3_password(const char *passwd) { if (strlen(passwd) != SM3_PASSWD_LEN) return false; if (strncmp(passwd, "sm3", 3) != 0) return false; const char *hash_part = passwd + 3; for (int i = 0; i < 64; i++) { if (!isxdigit(hash_part[i])) return false; } return true; } static bool check_client_passwd(PgSocket *client, const char *passwd) { char md5[MD5_PASSWD_LEN + 1]; PgUser *user = client->auth_user; int auth_type = client->client_auth_type; /* disallow empty passwords */ if (!*passwd || !*user->passwd) return false; switch (auth_type) { case AUTH_PLAIN: switch (get_password_type(user->passwd)) { case PASSWORD_TYPE_PLAINTEXT: return strcmp(user->passwd, passwd) == 0; case PASSWORD_TYPE_MD5: pg_md5_encrypt(passwd, user->name, strlen(user->name), md5); return strcmp(user->passwd, md5) == 0; case PASSWORD_TYPE_SCRAM_SHA_256: return scram_verify_plain_password(client, user->name, passwd, user->passwd); case PASSWORD_TYPE_SM3: { char calc_buf[SM3_DIGEST_LENGTH*2 + 4]; // "sm3" + 64位哈希 // 生成带前缀的哈希 ("sm3...") if (!pg_sm3_encrypt(passwd, "", 0, calc_buf, sizeof(calc_buf))) { return false; } // 直接比较完整字符串(包含"sm3"前缀) return strcmp(user->passwd, calc_buf) == 0; } default: return false; } case AUTH_MD5: if (strlen(passwd) != MD5_PASSWD_LEN) return false; if (get_password_type(user->passwd) == PASSWORD_TYPE_PLAINTEXT) pg_md5_encrypt(user->passwd, user->name, strlen(user->name), user->passwd); pg_md5_encrypt(user->passwd + 3, (char *)client->tmp_login_salt, 4, md5); return strcmp(md5, passwd) == 0; case AUTH_SM3: { if (!validate_sm3_password(user->passwd)) return false; // 提取存储密码中的盐和哈希(跳过"sm3"前缀) const char *stored_hex = user->passwd + 3; // 将十六进制字符串转换为二进制 uint8_t stored_bin[SM3_SALT_LENGTH + SM3_DIGEST_LENGTH]; // 40字节 if (!hex2bin(stored_hex, stored_bin, sizeof(stored_bin))) return false; uint8_t stored_salt[SM3_SALT_LENGTH]; uint8_t stored_hash[SM3_DIGEST_LENGTH]; memcpy(stored_salt, stored_bin, SM3_SALT_LENGTH); memcpy(stored_hash, stored_bin + SM3_SALT_LENGTH, SM3_DIGEST_LENGTH); char client_response_hex[SM3_DIGEST_LENGTH*2 + 4]; if (!pg_sm3_encrypt(passwd, (char*)client->tmp_login_salt, SM3_SALT_LENGTH, client_response_hex, sizeof(client_response_hex))) return false; uint8_t client_response_bin[SM3_DIGEST_LENGTH]; if (!hex2bin(client_response_hex + 3, client_response_bin, sizeof(client_response_bin))) return false; return pg_sm3_verify(stored_salt,client->tmp_login_salt,client_response_bin,stored_hash); } } return false; } 讲下正确性
07-17
2. 在`AUTH_SM3`模式下,我们使用客户端提供的临时盐(`tmp_login_salt`)计算响应,然后存储的盐和存储的哈希进行验证。这里存储的盐是用户创建时固定的,而临时盐是每次认证时随机生成的。 3. 在`AUTH_PLAIN`...
PHP 密码安全之比 md5,sha1 更安全的密码散列函数 password_hash 代码使用实例
Zuozi - 网络从业者长见识就来Zuozi.NET
04-29 1032
引用 PHP 官方手册的一段话,如下:为何诸如 md5() 和 sha1() 这样的常见散列函数不适合用在密码保护场景?MD5,SHA1 以及 SHA256 这样的散列算法是面向快速、高效进行散列处理而设计的。随着技术进步和计算机硬件的提升,破解者可以使用"暴力"方式来寻找散列码所对应的原始数据。因为现代化计算机可以快速的"反转"上述散列算法的散列值,所以很多安全专家都强烈建议不要在密码散列中使用这些散列算法。
md5password_hash孰好孰坏
热门推荐
迟迟 优快云
02-08 1万+
md5自不必说,想必所有phper都用过,但另一个加密函数不知道你见过没有 他就是password_hash(); 加密方式更全面.使用起来也比md5+salt这种方式要简洁很多,最主要的是难破解,因为它每时每刻都在变动 它的使用方式大致是这样 1. 用户注册时提交过来密码,我们对用户密码进行加密,这里选择password_hash进行加密 2. 加密之后,将加密好的密码存储到数据表中 ...
密码加密——加盐后再进行md5加密
m0_74229735的博客
04-01 6944
首先明文肯定是不可取的,在数据库中明文存储密码风险实在是太大了。MD5(Message Digest Algorithm 5)是一种常用的,用于将任意长度的数据进行不可逆的加密处理。MD5 可以将输入的任意长度的数据转换为一个128位(16字节)的哈希值,通常表示为32个十六进制数字。尽管 MD5 具有上述特点,但由于其安全性较低,已被证明容易受到)和的影响,因此在一些安全要求较高的场景中,已经不推荐单独使用 MD5 来加密密码等敏感信息。解释一下和。
php数字转换md5码,将md5密码哈希转换为PHP 5.5 password_hash()
weixin_39936792的博客
03-22 329
在您的login.php()中,将旧密码从MD5转换为bcrypt,并用新的密码替换数据库中的旧MD5哈希.伪代码:$password = $_POST["password"];if (substr($pwInDatabase, 0, 1) == "$"){// Password already converted, verify using password_verify}else{// Us...
MD5加盐加密方式
qq_37813806的博客
05-22 433
一 使用org.apache.shiro.crypto.hash.Md5Hash Object salt = ByteSource.Util.bytes("加盐字符串"); Md5Hash md5Hash = new Md5Hash("加密字符串", salt(盐值), 1(加密次数)); md5Hash.toBase64() md5Hash.toHex() // 默认 二 使用org.apache.shiro.crypto.hash.SimpleHash Object salt = ByteSourc
使用md5+salt+hash散列查询
qq_45421186的博客
12-24 854
.说明 1.分析 通过MD5+salt+hash散列进行用户登录查询。 重点:(1)加密存储到数据库(2)验证登录用户信息和数据库信息是否一致 2.目录结构 二.范例 1.调用类 (1)代码块 package com.fengmo; import com.relam.CustomerMD5; import org.apache.shiro.SecurityUtils; import org.apache.shiro.authc.IncorrectCredentialsException; import
MD5加盐
weixin_66109724的博客
03-13 3718
1
md5password_hash谁跟牛X
qq_36598009的博客
02-20 919
md5自不必说,想必所有phper都用过,但另一个加密函数不知道你见过没有 他就是password_hash(); 加密方式更全面.使用起来也比md5+salt这种方式要简洁很多,最主要的是难破解,因为它每时每刻都在变动 它的使用方式大致是这样 1. 用户注册时提交过来密码,我们对用户密码进行加密,这里选择password_hash进行加密 2. 加密之后,将加密好的密码存储到数据表中 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值