php 可防止时序攻击的字符串比较函数 hash_equals()

最新推荐文章于 2025-09-16 18:08:31 发布
原创 最新推荐文章于 2025-09-16 18:08:31 发布 · 2.8k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文讲解了在PHP中使用双等于运算符进行字符串比较时可能存在的时序攻击风险,并介绍了如何利用hash_equals函数来有效防御此类攻击,确保比较操作的时间消耗保持恒定。

时序攻击

在 php 中比较字符串相等时如果使用双等 == 可能会有时序攻击的危险.

比如比较

"abscdd" == $request->code

那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就可以按位破解。

而使用 hash_equals 比较两个字符串,无论字符串是否相等,函数的时间消耗是恒定的,这样可以有效的防止时序攻击。

hash_equals('abscdd',$request->code)

 

参考

http://php.net/manual/zh/function.hash-equals.php

剖析 WordPress `wp_verify_password()` 函数源码:兼容 `phpass` 库的密码验证。
weixin_41455464的博客
08-09 874
它不仅负责验证用户密码,还兼容了多种不同的哈希算法,保证了老用户的密码也能顺利登录。同时,WordPress 也在不断引入新的哈希算法,提高安全性。方法会从哈希值中提取盐值和迭代次数,然后使用相同的盐值和迭代次数对用户输入的密码进行哈希,最后与数据库中的哈希值进行比较。最古老的哈希算法之一,速度快,但安全性极低,容易被彩虹表破解。一个专门为密码哈希设计的PHP库,使用了一种基于 DES 的哈希算法,并加入了盐值,提高了安全性。它的任务就是判断用户输入的密码经过哈希后是否与数据库中的哈希值匹配。
hash_equals()函数
weixin_33918114的博客
12-13 1087
本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/92 了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。 本函数可以用在需要防止时序攻击...
php字符串比较函数
yml957803796_1的专栏
07-13 239
比较两个字符串是否相等,最常见的方法就是使用“===”来判断,至于它和“==”的区别,简单来说就是前者强调“identical”类型也要求一样;后者要求“equal”,值相同就可以了,参考【1】。或者使用strcmp来判断,但是这个能够告诉你两个字符串是否相等,但是无法告诉你在那里不同。我的思路是单字符串分割为一个个字母(character),这样比较就能精确知道在那个位置不同了。分隔字符串,使用...
实战有效的Web时序攻击技术剖析
分享技术点滴
09-16 1056
研究总监@albinowax:2024年8月7日 18:10 UTC:2024年11月18日 08:32 UTC网站中充满了急于泄露其内部秘密的时序预言机。是时候开始倾听它们了。在本文中,我将释放新颖的攻击概念,以诱出服务器秘密,包括掩蔽的错误配置、盲数据结构注入、通往禁止区域的隐藏路由以及大量不可见的攻击面。这不是理论威胁;每种技术都将在不同目标上的多个真实案例研究中得到说明。前所未有的进步使这些攻击既准确又高效;在十秒内,您现在可以可靠地检测到亚毫秒级的差异,无需事先配置或“实验室条件”
php hash equals,hash_equals
weixin_32000561的博客
03-20 334
{if(func_num_args()!==2){//handlewrongparametercountasthenativeimplentationtrigger_error('hash_equals()expectsexactly2parameters,'.func_num_args().'given',E_USER_WARNING);returnnull;...
php hash equ,兼容性函数
weixin_29175469的博客
04-11 209
CodeIgniter 提供了一套兼容性函数,让你可以使用非原生的 PHP 函数,但是只有在更高的版本或者依赖于某个扩展插件。作为定制化实现,这些函数也有一定的依赖性,但是如果你的安装的 PHP 没有提供原生函数,它们还是很有用的。注意: 大部分和 通用函数 很像, 只要依赖性满足,兼容性函数一直可用。 哈希密码这套函数提供一个 PHP 标准“哈希密码扩展” 的 “反向移植” ,仅在 PHP 5....
PHP hash_equals()函数
Gan_1314的博客
03-04 1265
了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。 本函数可以用在需要防止时序攻击字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景。 上面提到了时序攻击,什么是时序攻击呢?引自如何通俗地解释时序攻击(timing attack)?中shotgun的回答: 举一个最简单的计时攻击的例子,某个函数负责比较用户输
修改完密码 登录提示密码不对了 怎么解决 肯定是登录加密验证 和 修改的时候加密规则 不一致了 // 自定义密码验证函数(修复:添加输入验证) function verify_admin_password($inputPassword, $storedHash) { // 验证输入参数 if (empty($inputPassword) || empty($storedHash)) { return false; } // 使用与数据库相同的算法:SHA256 + 盐值 $hashedInput = hash('sha256', $inputPassword); // 安全比较防止时序攻击) return hash_equals($storedHash, $hashedInput); } dump($user['password_hash']); if (verify_admin_password($password, $user['password_hash'])) { // 登录成功 Session::set('admin_user', [ 'id' => $user['id'], 'username' => $username, 'login_time' => time() ]); // 重置登录尝试次数 Cache::set('login_attempts_' . $ip, 0); // 添加登录日志 // $this->logLogin($user['id'], $ip); // 使用绝对URL避免重定向问题 return redirect(url('admin/payment/index')); } // 使用自定义方法验证当前密码 if (!verify_admin_password($currentPassword, $admin['password_hash'])) { return json(['code' => 0, 'msg' => '当前密码不正确']); } // 生成新密码的哈希值(与数据库存储方式一致) $newHash = hash('sha256', $newPassword); // 更新数据库 $result = Db::name('admin_user') ->where('id', $adminId) ->update([ 'password' => '', // 修复:清空明文密码字段 'password_hash' => $newHash, 'update_time' => time() ]);
最新发布
11-28
注意:在登录验证时,我们使用了`hash_equals`进行安全比较,这是一个好习惯,可以防止时序攻击。 最后,确保数据库中的每个用户记录都有盐值。如果之前创建用户时没有生成盐值,那么需要为这些用户补充盐值...
php字符比较
11-04
- **安全实践**:在用户输入比较(如密码)时,使用 `hash_equals()` 函数防止时序攻击(timing attack)。 - **常见错误**:如果字符串包含特殊字符(如空格或空值),先使用 `trim()` 清理。 通过这些方法和示例...
判断两个hash值是否相等的PHP代码
05-23
在这个示例中,我们首先使用 `hash()` 函数对两个字符串进行哈希处理,然后使用 `hash_equals()` 函数比较两个哈希值是否相等。如果相等,输出“The two hash values are equal.”;否则,输出“The two hash values...
hash_equals 判断 字符串值是否相等
范特西的博客
02-22 5347
hash_equals 是可防止时序攻击字符串比较,那么什么是时序攻击呢?比如这段代码我们使用 $verifyData['code'] == $request->verification_code 进行比较,那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的...
PHP字符串比较函数strcmp()和strcasecmp()使用总结
qq_37768690的博客
03-07 900
比较字符串是任何编程语言的字符串处理功能中重要的特性之一。在PHP中除了可以使用比较运算符号(==、)加以比较外,还提供了一系列的比较函数,使PHP可以进行更复杂的字符串比较。如strcmp()、strcasecmp()和strnatcmp()函数。 1.按字节顺序进行字符串比较 要按字节顺序进行字符串比较,可以使用strcmp()和strcasecmp()两个函数,其中函数str
php字符串比较函数有哪些,php字符串比较函数实例
weixin_39564187的博客
03-17 304
php中,php字符串比较函数主要有strcmp()、strcasecmp()、strncasecmp()、strncmp()等。本节通过实例学习下php字符串比较函数的用法。区分大小写字符串比较strcmp()函数字符串按照ASCⅡ码值进行比较,如果前者比后者大,则返回大于0的整数。如果前者比后者小,则返回小于0的整数。二者相等,则返回0.例1:复制代码 代码示例:echo strcmp(...
php比较字符串,php中常用字符串比较函数
weixin_39540315的博客
03-10 200
substr_compare() 函数从指定的开始长度比较两个字符串。该函数返回:0 - 如果两字符串相等<0 - 如果 string1 (从开始位置)小于 string2>0 - 如果 string1 (从开始位置)大于 string2语法substr_compare(string1,string2,startpos,length,case)*/$str1="hello world"...
php hash equals,PHP hash_equals polyfill
weixin_39572168的博客
03-20 111
php.net 看到一個版本,然而卻有很多 downvotes,不知爲何。if(!function_exists('hash_equals')) {function hash_equals($str1, $str2) {if(strlen($str1) != strlen($str2)) {return false;} else {$res = $str1 ^ $str2;$ret = 0;f...
php关于字符串比较函数,几个常用的php字符串比较函数用法汇总
weixin_39680609的博客
03-26 211
这篇文章主要介绍了php常用字符串比较函数,实例汇总了substr_compare、strncasecmp、strncmp、strcoll等常用函数,具有一定的参考借鉴价值,需要的朋友可以参考下substr_compare() 函数从指定的开始长度比较两个字符串,该函数返回:0 - 如果两字符串相等,<0 - 如果 string1 (从开始位置)小于 string2,>0 - 如果 s...
PHP中的hash_equals()是干什么的?使用场景是什么?底层原理是什么?
长风破浪会有时的博客
09-21 752
函数PHP 中用于安全地比较两个字符串,特别适用于密码验证、CSRF 令牌验证以及其他需要防止时序攻击的场景。它通过逐字节比较和固定时间执行来确保比较操作的时间恒定,从而提高安全性。理解的工作原理和使用方法对于编写安全的 PHP 代码至关重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值