使用PHP 5.5的password_hash和password_verify函数
假设我想为用户存储密码,这是使用PHP 5.5的password_hash()功能(或针对PHP 5.3.7+的该版本:https : //github.com/ircmaxell/password_compat)的正确方法吗?
$options = array("cost" => 10, "salt" => uniqid()); $hash = password_hash($password, PASSWORD_BCRYPT, $options); 然后我会做:
mysql_query("INSERT INTO users(username,password, salt) VALUES($username, $hash, " . $options['salt']); 插入数据库。
然后进行验证:
$row = mysql_fetch_assoc(mysql_query("SELECT salt FROM users WHERE id=$userid")); $salt = $row["salt"]; $hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 10, "salt" => $salt));
if (password_verify($password, $hash) { // Verified }
写回答
-
现在忽略数据库语句的问题,我将回答有关的问题password_hash。
简而言之,不,这不是您的方式。您不想单独存储盐,应该同时存储哈希和盐,然后使用两者来验证密码。password_hash返回包含两者的字符串。
该password_hash函数返回一个既包含哈希又包含salt的字符串。所以:
$hashAndSalt = password_hash($password, PASSWORD_BCRYPT); // Insert $hashAndSalt into database against user 然后进行验证:
// Fetch hash+salt from database, place in $hashAndSalt variable // and then to verify $password: if (password_verify($password, $hashAndSalt)) { // Verified } 此外,正如评论所建议的那样,如果您对安全性感兴趣,则可能要看一下mysqli(ext/mysqlPHP5.5中已弃用),以及有关SQL注入的这篇文章:http ://php.net/manual/zh/security .database.sql-injection.php来源:stack overflow
2020-05-10 20:56:20赞同 展开评论 打赏
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
