PHP hash_equals()函数

已于 2022-06-16 15:37:37 修改
阅读量830 收藏 2
点赞数 1
分类专栏: PHP 文章标签: php
于 2022-03-04 09:56:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gan_1314/article/details/123268938
版权

了解下hash_equals的概念:

bool hash_equals ( string $known_string , string $user_string )
比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。
本函数可以用在需要防止时序攻击的字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景。

上面提到了时序攻击,什么是时序攻击呢?引自如何通俗地解释时序攻击(timing attack)?中shotgun的回答:

举一个最简单的计时攻击的例子,某个函数负责比较用户输入的密码和存放在系统内密码是否相同,如果该函数是从第一				
位开始比较,发现不同就立即返回,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经
常出现的按位破解密码的场景。密码破解复杂度成千上万倍甚至百万千万倍的下降。

而hash_equals的时间消耗是恒定的,也就防止了时序攻击。

PHP 中的 == 和“隐式转换”

<?php
var_dump(md5('240610708') == md5('QNKCDZO'));   //true

为什么会是true?
md5(‘240610708’) 的结果是:0e462097431906509019562988736854
md5(‘QNKCDZO’) 的结果是:0e830400451993494058024219903391

在PHP中, 在使用 == 号时,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值
并且比较按照数值来进行。

php会将以0x开头的或者0e开头的并且后面都是数字的当成数字来处理。上面两个例子都被等效成了 0×10^0 ,所以相等。
类似的还有

var_dump('0x1234Ab' == '1193131');   //true

为了防止此现象,需要使用===或者hash_equals函数来处理。

var_dump(0 == "0e1111111");    //true
var_dump("0" == "0e1111111");   //true

之前一直认为输出结果是true false。但是实验发现两个都是true。原来php在将字符串转换成整数的条件不光是字符串和整数比较。还有当两个数字型字符串比较时,也会将两个字符串都转换成整数。

为避免上述问题,可以使用hash_equals()或者strcmp()函数,这两个函数是二进制安全的

引用网上一张图:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

原文https://www.cnblogs.com/zhangyachen/p/8033358.html

Gan_1314
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
hash_equals()函数
weixin_33918114的博客
12-13 1003
本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/92 了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。 本函数可以用在需要防止时序攻击...
PHP中用hash实现的数组
12-18
而其计算字符串hash值的方法如下,将源码摘出来以供查备: 复制代码 代码如下: static inline ulong zend_inline_hash_func(const char *arKey, uint nKeyLength) { register ulong hash = 5381;     &...
php hash equals,hash_equals
weixin_32000561的博客
03-20 244
{if(func_num_args()!==2){//handlewrongparametercountasthenativeimplentationtrigger_error('hash_equals()expectsexactly2parameters,'.func_num_args().'given',E_USER_WARNING);returnnull;...
php 可防止时序攻击的字符串比较函数 hash_equals()
卩杉的博客笔记
01-08 2750
时序攻击 在 php 中比较字符串相等时如果使用双等 == 可能会有时序攻击的危险. 比如比较 "abscdd" == $request-&gt;code 那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就可以按位破解。 而使用 hash_equals 比较两个字符串,无论字符串是否相等,函数的时间消...
hash_equals 判断 字符串值是否相等
范特西的博客
02-22 5246
hash_equals 是可防止时序攻击的字符串比较,那么什么是时序攻击呢?比如这段代码我们使用 $verifyData['code'] == $request-&gt;verification_code 进行比较,那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的...
php hash equ,兼容性函数
weixin_29175469的博客
04-11 126
CodeIgniter 提供了一套兼容性函数,让你可以使用非原生的 PHP 函数,但是只有在更高的版本或者依赖于某个扩展插件。作为定制化实现,这些函数也有一定的依赖性,但是如果你的安装的 PHP 没有提供原生函数,它们还是很有用的。注意: 大部分和 通用函数 很像, 只要依赖性满足,兼容性函数一直可用。 哈希密码这套函数提供一个 PHP 标准“哈希密码扩展” 的 “反向移植” ,仅在 PHP 5....
【深入Java基础】java中的hash和equals
哈哈哈哈哈哈哈
01-02 2442
关于hash的基本知识Hash,一般翻译做“散列”,也有直接音译为”哈希”的,就是把任意长度的输入(又叫做预映射, pre-image),通过散列算法,变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,而不可能从散列值来唯一的确定输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。HAS
验证码比较hash_equals 方法
weixin_30793643的博客
06-26 119
验证码是否与缓存中一致时,使用了hash_equals方法: hash_equals($verifyData['code'], $request->verification_code) hash_equals 是可防止时序攻击的字符串比较,那么什么是时序攻击呢?比如这段代码我们使用 $verifyData['code'] == $request->verifica...
php自定义hash函数实例
10-24
主要介绍了php自定义hash函数,实例分析了hash函数的实现技巧,可实现简单的加密功能,具有一定参考借鉴价值,需要的朋友可以参考下
php常用hash加密函数
10-25
主要介绍了php常用hash加密函数,以实例形式详细分析了PHP的hash加密函数用法,代码中备有详尽的注释,便于理解,需要的朋友可以参考下
关于hashCode()和equals()的本质区别和联系
04-03
关于hashCode()和equals()的本质区别和联系.doc
Hash_1.0.4
02-27
"Hash_1.0.4"是一个专用于计算文件哈希值的工具,能够帮助用户快速验证文件的完整性和一致性。下面将详细阐述哈希计算的基本概念、常用算法以及这款工具的功能特性。 哈希,也被称为散列或消息摘要,是一种将任意...
hashCode() 和 equals() 总结
快乐的小三菊的博客
11-19 1255
hashCode() 和 equals() 总结
php hash equals,PHP hash_equals polyfill
weixin_39572168的博客
03-20 62
php.net 看到一個版本,然而卻有很多 downvotes,不知爲何。if(!function_exists('hash_equals')) {function hash_equals($str1, $str2) {if(strlen($str1) != strlen($str2)) {return false;} else {$res = $str1 ^ $str2;$ret = 0;f...
php中equals,js中的"=="和equals()以及is()方法
weixin_36005427的博客
03-20 746
在 javaScript或者jQuery中字符串比较没有equals()方法,要比较两个字符串是否相等可以直接用==或者is()进行判断。例如:"a"=="a"$("#a").val().is("a")当然我们可以自己写一个equals()方法:如:Js代码String.prototype.equals = function(s){return this == s;}Js代码function eq...
php中equals6,Object类之equals方法
weixin_34296646的博客
04-02 165
在Object这个类里面equals方法默认的实现是当前对象引用和你要比较的对象的引用是不是同一个对象。 equals方法的返回值是boolean j2sdk提供了一些类,如:String Data等重写了equals方法例子程序:Java代码public class TestEquals {public static void main(String[] args) {Cat c1 = new ...
hasecode和equals方法 为啥重写equals方法的时候需要重写hashcode方法
qq_34936628的博客
07-23 405
hashcode的作用: hasecode 目的是存在散列表中。 以hashset为例,hashcode 是作为一个指针存在 为key -value的value 确定是否存在和位置index,hasecode本身也是一个int值,当新数据插入hashset散列表的时候。首先会判断hashcode值如果当前value值hashcode一致在进行equals方法调用。这样做的目的是减少equal...
==与equals()的区别
bxznll_wjsfc的博客
07-09 204
==与equals()的区别 public static void main(String[] args) { String s = new String("ABC"); String s1 = new String("ABC"); System.out.println("ABC equals对比结果 : "+s.equals(s1)); System.out.println(s == s1); System.out.p
hash值相等,equals一定相等吗,equals相等,hash值一定相等吗
热门推荐
XiaopinOo的博客
10-21 1万+
两者之间唯一的必然关系被你说反了,equls返回为true,则两者的hashcode一定相等,意即相等的对象必须具有相等的哈希码。每当equals方法被覆写,通常需要重写hashCode方法从而 保持对象行为的一致性。而具有相等的hashcode的两个对象equals不一定成立。你可以这样认为也行,hashcode是作为一个对象存储的参考,hash表本身是一种散列表,在数据存储这块,功效比较大,
php hash_hmac sha256
最新发布
07-28
PHP中使用hash_hmac函数来计算SHA256哈希值。hash_hmac函数采用三个参数:哈希算法(如"sha256"),要计算哈希值的消息,以及密钥。以下是使用hash_hmac函数计算SHA256哈希值的示例代码: ```php $message = "Hello...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值