关于PHP>=5.5时密码哈希校验的使用案例

最新推荐文章于 2021-04-25 18:38:22 发布
最新推荐文章于 2021-04-25 18:38:22 发布
阅读量638 收藏 1
点赞数 1
分类专栏: PHP 文章标签: hash sha1 哈希密码 password_hash password_verify
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27682041/article/details/78922264
版权

关于密码安全,一直都是各位开发者所关心的事,对于密码我们都是采用加密处理,PHP也提供了很多加密函数,如md5()、sha1()等等,但是我们一般不会单纯地对原密码直接进行加密,因为这样虽然加密了,但是强度过低,很容易遭遇不法分子破解。我们比较常用的是使用md5加salt来增强加密后的密码安全性,salt及盐值,这个值要随机生成,可在用户注册的时候和密码一起生成并保存到数据库中,用户登录验证的时候再把密码和盐值一起组合验证。如:md5(md5('php123456').'dsrfere34332'),类似于这样的加密方式,然后存进数据库,需要校验的时候取出来,再把原密码取出来加密与之比较即可,相对复杂的密码加盐处理后破解难度还是很大的。

PHP版本大于等于5.5,系统提供了4个密码哈希处理的函数,内核自带无需安装扩展。分别是password_hash、password_verify、password_get_info、password_needs_rehash。

我们接下来通过面向对象的方式进行使用案例说明:

index.php

<?php    
    require_once "Db.class.php";//引入数据库操作类
    require_once "User.class.php";//用户类
    require_once "db.config.php";//数据库配置文件

    $ac = trim($_GET['ac']);
    if(in_array($ac, get_class_methods('User'))){//判断方法名称是否正确
        $user = new User($host,$user,$pass,$dbname);
        extract($_POST);
        $hash = password_hash($password,PASSWORD_DEFAULT);//创建hash密码,60位长度,默认加密层级为10,根据自己需要可设置,硬件支持,最多为20。
        switch ($ac) {
            case 'login':
                $data = $user->login($hash,$username);
                if(password_verify($password,$data['pass_hash'])){//校验hash密码
                    $info = $user->update_logintime($data['id']);
                    unset($data['pass_hash']);
                    $user->output('200','Login successfully.',$data);
                }else{
                    $user->output('400','Login unsuccessfully.',$data);
                }
                break;
            
            case 'register':
                $id = $user->register($hash,$username);
                $data = ['id' => $id];
                $id ? $user->output('200','Register successfully.',$data) : $user->output('400','Register unsuccessfully.',$data);
                break;
        }
    }else{
        exit('Method invalid.');
    }


Db.class.php文件 

<?php
    class Db{
        private $_host;
        private $_user;
        private $_pass;
        private $_data_name;
        private $_conn;
        const CHARSET = 'set names utf8';

        public function __construct($host,$user,$pass,$dbname){
            $this->_host = $host;
            $this->_user = $user;
            $this->_pass = $pass;
            $this->_data_name = $dbname;
            $this->_conn = mysqli_connect($this->_host,$this->_user,$this->_pass,$this->_data_name);
            if(mysqli_connect_errno($this->_conn)){
                exit("connect error:".mysqli_connect_error());
            }
            mysqli_query($this->_conn,self::CHARSET);
        }

        public function insert($sql){//插入语句
            $id = $this->query($sql);
            if($id){
                return mysqli_insert_id($this->_conn);
            }else{
                return false;
            }
        }

        public function select($sql){//查询语句查询多条
            $resource = $this->query($sql);
            if($resource){
                while ($row =  mysqli_fetch_assoc($resource)) {
                    $result[] = $row;
                }
                return $result;
            }else{
                return mysqli_error($this->_conn);
            }
        }

        public function update($sql){//修改语句
            $resource = $this->query($sql);
            if($resource){
                return mysqli_affected_rows($this->_conn);
            }else{
                return false;
            }
        }

        public function find($sql){//查询一条
            $result = $this->select($sql);
            return $result ? $result[0] : [];
        }

        public function query($sql){//执行语句
            $resource = mysqli_query($this->_conn,$sql);
            if($resource){
                return $resource;
            }else{
                return mysqli_error($this->_conn);
            }
        }
    }


User.class.php 

<?php
    class User{

        private $_db;

        public function __construct($host,$user,$pass,$dbname){
            $this->_db = new Db($host,$user,$pass,$dbname);
        }

        public function register($pass_hash,$username){//注册
            $sql = "insert into hash_test(pass_hash,username,registertime) value('$pass_hash','$username',NOW())";
            return $this->_db->insert($sql);
        }

        public function login($pass_hash,$username){//登录
            $sql = "select id,pass_hash from hash_test where username = '$username'";
            return $this->_db->find($sql);
        }

        public function update_logintime($id){//修改登录时间
            $sql = "update hash_test set logintime = NOW() where id = $id";
            return $this->_db->update($sql);
        }

        public function output($code,$msg,$datas = []){//自定义接口返回格式
            $outputData = [
                'code' => $code,
                'msg' => $msg, 
                'datas' => $datas 
            ];
            exit(json_encode($outputData));
        }
    }

db.config.php 

<?php
    $host = '127.0.0.1';
    $user = 'root';
    $pass = '';
    $dbname = 'password_test';

数据库sql语句

/*
Navicat MySQL Data Transfer

Source Server         : localhost_3306
Source Server Version : 50714
Source Host           : localhost:3306
Source Database       : password_test

Target Server Type    : MYSQL
Target Server Version : 50714
File Encoding         : 65001

Date: 2017-12-28 15:22:05
*/

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for hash_test
-- ----------------------------
DROP TABLE IF EXISTS `hash_test`;
CREATE TABLE `hash_test` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT COMMENT '主键id',
  `pass_hash` varchar(60) NOT NULL COMMENT '密码哈希值',
  `username` varchar(50) NOT NULL COMMENT '用户名',
  `registertime` datetime NOT NULL COMMENT '注册时间',
  `logintime` datetime DEFAULT NULL COMMENT '登录时间',
  PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=46 DEFAULT CHARSET=utf8;

前台页面展示:

注册界面


登录界面


数据库截图



注册返回:



登录返回:



上述代码首先通过注册填写用户名和密码,对原密码进行哈希处理后存到数据库,登录时再通过用户名获取用户id和哈希密码,如果存在则将注册时加密的密码hash取出来,然后根据原密码的加密处理和数据库里面的哈希密码进行比对;然后使用password_verify()函数验证密码,password_verify()函数有两个参数,第一个参数是纯文本密码,第二个参数是用户数据表中读取出来的密码hash值。如果该函数返回true,说明密码正确,否则,密码错误,终止登录。

通过以上的案例,发现验证密码如此简单,通过password_hash加密后的密码,使用字典方式很难破解,因为每次生成的密码都是不一样的,破解这种加密只能采用暴力破解。



sensus森森
关注
专栏目录
JavaScript笔记
shine_my的博客
03-13 3298
JavaScript笔记
MySQL高级学习笔记
新新
12-05 7821
目录 1、MySQL数据库逻辑架构。 (1)网络连接层。 (2)服务层(MySQL Server)。 1)连接池(Connection Pool)。 2)系统管理和控制工具(Management Services & Utilities)。 3)SQL接口(SQL Interface)。 4)解析器(Parser)。 5)查询优化器(Optimizer)。 6)缓存和缓冲池(Cache&Buffer)。 (3)存储引擎层(Pluggable Storag...
国产哈希算法WJLHA(二):Web注册与登录的密码校验密码安全存储(Java)
王杰林(编码技术)的博客
04-25 937
我在第一篇文章中主要介绍了WJLHA算法的理论来源和获取方式,以及各种语言的调用方法。本文将基于java的jar包给出Web后端关于注册与登录功能的密码校验密码安全存储的实现方法。 一、为什么要使用哈希算法进行密码校验密码安全存储? 随着信息安全越来越被重视,除了防范外部攻击(我将在后面的文章中描述为什么微信支付需要利用哈希算法对支付数据或订单进行哈希签名,采用哈希算法签名可以防止重复提交和恶意注水),对于内部数据维护人员同样需要进行防范。俗话说,害人之心不可有,防人之心不可无!以银行职员为例,如果
PHP 5.5 创建和验证哈希最简单的方法
u011905238的专栏
08-31 408
PHP 5.5.0 于昨天发布,并带来了一份完整的全新特性与函数的列表。全新API之一就是Password Hashing API.它包含4个函数:password_get_info(), password_hash(),password_needs_rehash(),和password_verify().让我们分步来了解每个函数。   我们首先讨论password_hash()函
php验证密码与确认密码一致,php – 从password_hash()确定salt
weixin_29743373的博客
03-31 520
我用bcrypt哈希我的密码(因为我运行php 5.3.10,实际上是password_compat)我想将函数的结果字符串拆分为两部分:使用的盐和散列本身. (我知道使用password_verify()来验证密码.但是我需要使用哈希作为密钥来加密更广泛的安全系统中的私钥.)对于给定的密码(abcdef),这是结果:$2y$10$ult68Ti4/zEWX4VQ .... ...
php中写salt,PHP密码加盐salt Hash思路
weixin_26741799的博客
03-11 666
加盐Hash:$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));$password=sha1($register_password.$salt);解释:首先使用mcrypt,产生电脑随机生成的,专门用户加密的随机数函数。第二步,把得到的随机数通过base64加密,使其变长并且不利于猜解。第三步,把得出的盐拼接到密码的后面,再对其...
PHPpassword_hash 创建哈希密码
伊凡
06-01 3175
PHP 5.5 引入一个给密码加密的方法,叫 password_hash。它的使用方法如下:$passwordHash = password_hash('123456', PASSWORD_BCRYPT); // to do with $passwordHash ...不可逆上面的操作是将明文密码 123456 使用 CRYPT_BLOWFISH 算法处理成一个由 60 个字符组成的字符串,类...
SugarCRM CE5.5中文语言包
12-21
【SugarCRM CE5.5中文语言包】是SugarCRM社区版本(Community Edition)5.5的一个重要组件,专为中文用户设计。这个语言包的主要目的是将SugarCRM的用户界面、帮助文档以及错误提示等信息翻译成中文,以便于中国用户...
mysql5.1中文手册
01-09
MySQL 4.1中的密码哈希处理<br>5.8. MySQL用户账户管理<br>5.8.1. MySQL用户名和密码<br>5.8.2. 向MySQL增加新用户账户<br>5.8.3. 从MySQL删除用户账户<br>5.8.4. 限制账户资源<br>5.8.5. 设置账户密码<br>5.8.6. ...
2.SDL规范文档
weixin_30872337的博客
02-27 2288
01.安全设计Checklist 输入验证 校验跨信任边界传递的不可信数据(策略检查数据合法性,含白名单机制等)格式化字符串,依然要检验用户输入的合法性,避免可造成系统信息泄露或者拒绝服务 禁止向Java Runtime.exec()方法传递不可信、未净化的数据(当参数中包含空格,双引号,以-或者/符号开头表示一个参数开关,可能会导致参数注入漏洞),建议如果可以禁止JVM...
PHP 密码哈希password_hash使用方法
郎涯技术
12-18 5658
每个人在建构 PHP 应用终究都会加入用户登录的模块。用户的帐号及密码会被储存在数据库中,在登录用来验证用户。 在存储密码前正确的 哈希密码 是非常重要的。哈希密码是单向不可逆的,该哈希值是一段固定长度的字符串且无法逆向推算出原始密码。这就代表你可以哈希另一串密码,来比较两者是否是同一个密码,但又无需知道原始的密码。如果你不将密码哈希,那么当未授权的第三者进入你的数据库,所有用户的帐号资料将...
password_hash密码加密与验证[PHP技术分享]
weixin_34082695的博客
06-07 1756
<?php // password_hash密码加密与验证[PHP技术分享] header("Content-Type:text/html;charset=utf-8"); /** * 正确的密码是secret-password * $passwordHashhash 后存储的密码 * password_verify()用于将用户输入的密...
php hmac,PHP签名验证之hash_hmac sha1
weixin_32049849的博客
03-09 3179
前言secret_id: 密钥的Idsecret_key: 密钥的KeySHA1: 签名方式hash_hmac: php hash函数hash_hmac_file:生成密钥1.生成secret_keyhash_hmac_file('SHA1','signature.txt','secret');2.生成签名base64_encode(hash_hmac('S...
php连接mysql数据库,实现简单的登录注册
weixin_43620407的博客
03-10 1万+
1.创建test数据库并建立user表 user表结构如下 2.编写lineMysql.php 实现连接mysql数据库,并创建查询,插入等方法 <?php class Mysql{ private $host; private $root; private $passwords; private $database; #析构函数,具有构造函数的...
php中mysqli释放资源,解析在PHP使用mysqli扩展库对mysql的操作
weixin_34902900的博客
03-28 169
1、在PHP使用mysqli扩展库对mysql 的dql操作复制代码 代码如下:下面是面向过程的复制代码 代码如下:2、在PHP使用mysqli扩展库对mysql 的dml操作复制代码 代码如下:3、进行封装复制代码 代码如下:class SqlHelper{private $mysqli;//这里先写死,以后写死的东西用一个文件来配置private static $host="local...
mysql中创建用户使用password加密后,用户登录不上(显示密码或用户名不正确)
守护大白菜的博客
06-13 8288
分两种情况:1:修改的是mysql自带的user表(设置用户访问数据库权限)此种情况可以1&gt;1、首先登录MySQL。 格式:mysql&gt; set password for 用户名@localhost = password('新密码'); 例子:mysql&gt; set password for root@localhost = password('123');1&gt;2、用UPDA...
php验签,用PHP验证签名的PDF文档
weixin_33737110的博客
03-10 333
我有一份签名的PDF文件.它是使用TCPDF签署的.现在我想验证它.这是我的解决方案:>获取已签名pdf的内容.>根据/ ByRange字段获取原始内容和签名值.>从签名值获取加密摘要消息.它是签名值末尾的八位字符串.>使用Openssl_public_decrypt()函数使用公钥解密加密的摘要消息.然后我们有一个带有前缀的字符串(“3021300906052b0e030...
认识 PHPhash函数
热门推荐
无界编程
03-15 1万+
 Hashing function (散列函式) 在网页应用中被广泛采用,从数码签署、错误检测、登入验证、到压缩储存空间,由于它的原理比较复杂,很多人把它跟加密函式混淆,对于如何运用hash function,如何选择合适的hash function,和它的优点缺点都不清楚,本文尝试解答这些问题。简单地说,Hashing 是一种数据影射(mapping) 的算法(algorithm),
PHP哈希函数详解:提升Web密码安全
登录,输入的密码同样经过相同的哈希函数处理并与数据库中的值进行比较。虽然md5()产生的是固定32位的十六进制字符串,但其碰撞可能性取决于算法。例如, crc32()算法产生的32位整数限制了碰撞的可能性。 然而,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值