PHP 加密函数 Password_Hash

本文深入探讨PHP5.5.0后新增的password_hash函数,介绍其如何简化密码存储及验证流程,不再需要单独存储盐值,同时提供bcrypt、Argon2等高强度算法支持。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

传统的用户名和密码都采用加盐的方式存储加密信息,盐值也需要存储。

自PHP5.5.0之后,新增加了密码散列算法函数(password_hash),password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 password_hash() 兼容 crypt()。 所以, crypt() 创建的密码散列也可用于 password_hash()。

password_hash不需要再单独存储盐值,而且每次加密的值都不一样,我们只需要存储加密字符串,验证时用password_verify()方法即可得出结果!

当前支持的算法:

PASSWORD_DEFAULT - 使用 bcrypt 算法 (PHP 5.5.0 默认)。 注意,该常量会随着 PHP 加入更新更高强度的算法而改变。 所以,使用此常量生成结果的长度将在未来有变化。 因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。

PASSWORD_BCRYPT - 使用 CRYPT_BLOWFISH 算法创建散列。 这会产生兼容使用 “2y2y2y” 的 crypt()。 结果将会是 60 个字符的字符串, 或者在失败时返回 FALSE。

PASSWORD_ARGON2I - 使用 Argon2 散列算法创建散列。

返回值:

返回散列后的密码, 或者在失败时返回 FALSE。

使用的算法、cost 和盐值作为散列的一部分返回。所以验证散列值的所有信息都已经包含在内。 这使 password_verify() 函数验证的时候,不需要额外储存盐值或者算法的信息。

例:

<?php
$test = password_hash("xiaohong", PASSWORD_DEFAULT);
echo $test."\n";
var_dump(password_verify('xiaohong', $test));
?>

输出:

$2y$10$P3D4oKoDvB5K1jR.aimOTel.P.BgOlwJSdWVXs3vMj35GSZVvdjnm  //密文
bool(true) 验证成功
### 使用 `password_hash` 函数的示例 以下是关于如何使用 PHP 的内置函数 `password_hash` 来加密用户密码的一个完整示例。此方法推荐用于现代应用程序的安全实践。 #### 密码注册过程 在用户注册过程中,可以利用 `password_hash` 对用户的输入密码进行哈希处理并存储到数据库中: ```php <?php function registerUser($username, $password) { // 创建一个带有默认选项的密码哈希 $options = [ 'cost' => 12, // 设置计算强度,默认为 10 ]; $hashedPassword = password_hash($password, PASSWORD_BCRYPT, $options); // 将用户名和哈希后的密码保存至数据库 saveToDatabase($username, $hashedPassword); } ?> ``` 上述代码中的 `PASSWORD_BCRYPT` 是一种基于 Blowfish 算法的强散列算法[^1]。参数 `'cost'` 定义了算法的工作量因子,较高的值会增加计算时间从而提高安全性[^2]。 #### 用户登录验证过程 当用户尝试登录时,可以通过 `password_verify` 验证其提供的密码是否匹配已有的哈希记录: ```php <?php function loginUser($username, $password) { // 假设从数据库加载对应的哈希值 $storedHash = loadHashFromDatabaseByUsername($username); if (password_verify($password, $storedHash)) { echo "登录成功!"; } else { echo "登录失败: 错误的用户名或密码."; } } ?> ``` 这里调用了 `password_verify` 方法来比较原始密码与之前存储的哈希值。如果两者一致,则返回 true 表明身份验证通过;反之则表示失败[^3]。 #### 关于 session 和 cookie 的安全设置建议 为了进一步增强应用的整体安全性,在配置文件 php.ini 中应考虑启用以下选项之一或者全部: - **session.cookie_secure**: 当该指令被设定为 On 或者 True 时,只有 HTTPS 请求才会发送 Cookie 数据给服务器端[^4]。 ```ini session.cookie_secure = 1; ``` 这样能够有效防止中间人攻击窃取敏感信息如 Session ID。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值