PHP `password_compat` 库使用教程

PHP password_compat 库使用教程

password_compatCompatibility with the password_* functions that ship with PHP 5.5项目地址:https://gitcode.com/gh_mirrors/pa/password_compat

1. 项目介绍

password_compat 是一个由 ircmaxell 开发的 PHP 扩展库，它为 PHP 5.3 到 5.5 版本提供了密码哈希功能的兼容性支持。在 PHP 5.5 及更高版本中，内建了 password_* 函数用于安全地存储和验证密码。然而，在这些较旧的 PHP 版本中，password_compat 提供了一个简单的兼容层，使得开发者可以提前使用这些新功能。

主要功能包括：

• password_hash()：创建密码哈希。
• password_verify()：验证密码是否与哈希匹配。
• password_needs_rehash()：检查是否需要更新哈希算法或成本参数。

2. 项目快速启动

安装依赖

首先，确保你的 PHP 版本是 5.3 至 5.5 之间。然后，通过 Composer 将 password_compat 添加到你的项目中：

composer require ircmaxell/password_compat

使用示例

导入库

require 'vendor/autoload.php';
use \ircmaxell\PasswordCompat\Password;

创建密码哈希

$password = 'my_password';
$hashedPassword = Password::hash($password);

验证密码

// 假设有人尝试登录
$attemptedPassword = 'trying_to_login';

if (Password::verify($attemptedPassword, $hashedPassword)) {
    echo "密码正确!";
} else {
    echo "密码错误!";
}

检查是否需要重新哈希

if (Password::needsRehash($hashedPassword, PASSWORD_DEFAULT, ['cost' => 12])) {
    // 更新密码哈希，通常是在数据库中
    $newHashedPassword = Password::hash($password);
}

3. 应用案例和最佳实践

• 存储哈希而非明文：永远不应该以明文形式存储用户的密码，而是应该将其哈希并存储哈希值。
• 使用足够的成本参数：调整 password_hash() 中的成本参数以确保哈希过程足够慢，避免彩虹表攻击。
• 定期检查和更新哈希算法：当新的加密标准推出时，使用 password_needs_rehash() 检查并更新用户的密码哈希。

4. 典型生态项目

虽然 password_compat 主要是为老版本 PHP 设计的，但它被广泛应用于各种旧项目升级或者需要向后兼容的场景。以下是一些可能使用它的场景或相关项目：

• Laravel框架：Laravel 在其较低版本中，为了支持PHP 5.5以下版本的密码管理，可能会用到此库。
• WordPress：某些老版本的 WordPress 插件或主题可能采用此库来增强密码安全性。
• 独立Web应用程序：任何基于PHP 5.3至5.5构建且需要符合现代密码存储标准的应用程序。

随着 PHP 不断更新，对于新版本的PHP项目，建议直接使用内置的 password_* 函数，因为它们提供了更好的性能和支持。

password_compatCompatibility with the password_* functions that ship with PHP 5.5项目地址:https://gitcode.com/gh_mirrors/pa/password_compat