PHP中的hash_equals()是干什么的?使用场景是什么?底层原理是什么?

于 2024-09-21 21:05:57 发布
阅读量583 收藏 5
点赞数 5
分类专栏: PHP 文章标签: php 哈希算法 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36777143/article/details/142424274
版权

什么是 hash_equals() 函数

hash_equals() 是 PHP 中的一个内置函数,用于比较两个字符串是否相等。它的主要特点是能够以时间恒定的方式进行比较,从而防止时序攻击(Timing Attack)。

使用场景

  1. 密码验证:在验证用户密码时,通常会将用户输入的密码进行哈希处理,并与存储在数据库中的哈希值进行比较。使用 hash_equals() 可以确保即使攻击者通过测量响应时间来猜测密码,也不会获得有用的信息。
  2. CSRF 令牌验证:在验证 CSRF 令牌时,也需要确保比较操作是时间恒定的,以防止攻击者通过时序攻击猜测令牌。
  3. 任何需要安全比较字符串的场景:例如,API 密钥、签名验证等。

底层原理

时序攻击

时序攻击是一种侧信道攻击,攻击者通过测量操作所需的时间来推断敏感信息。在传统的字符串比较中,一旦发现不匹配的字符,比较就会立即停止。这种行为会导致比较操作的时间依赖于字符串内容,攻击者可以通过多次尝试并测量响应时间来逐步猜测正确的值。

时间恒定比较

hash_equals() 函数通过以下方式实现时间恒定的比较:

  1. 逐字节比较:无论字符串是否匹配,hash_equals() 都会逐字节地比较整个字符串,直到最后一个字符。
  2. 固定时间执行:无论比较结果如何,hash_equals() 的执行时间都是固定的,不会因为早期发现不匹配而提前终止。

这样,攻击者就无法通过测量响应时间来推断字符串的内容。

示例代码

密码验证
<?php
// 假设这是从数据库中获取的用户哈希密码
$storedHash = '$2y$10$92IXUNpkjO0rOQ5byMi.Ye4oKoEa3Ro9llC/.og/at2.uheWG/igi'; // bcrypt 哈希

// 用户输入的密码
$userInput = 'password123';

// 对用户输入的密码进行哈希处理
$inputHash = password_hash($userInput, PASSWORD_BCRYPT);

// 使用 hash_equals() 进行安全比较
if (hash_equals($storedHash, $inputHash)) {
    echo "Password is correct!";
} else {
    echo "Password is incorrect!";
}
?>
CSRF 令牌验证
<?php
session_start();

// 生成并存储 CSRF 令牌
if (!isset($_SESSION['csrf_token'])) {
    $_SESSION['csrf_token'] = bin2hex(random_bytes(32)); // 生成32字节的随机令牌
}

// 显示表单
?>
<!DOCTYPE html>
<html>
<head>
    <title>CSRF Protected Form</title>
</head>
<body>
    <form action="submit.php" method="post">
        <input type="hidden" name="csrf_token" value="<?php echo htmlspecialchars($_SESSION['csrf_token']); ?>">
        <label for="username">Username:</label>
        <input type="text" id="username" name="username"><br><br>
        <label for="password">Password:</label>
        <input type="password" id="password" name="password"><br><br>
        <input type="submit" value="Submit">
    </form>
</body>
</html>

<?php
// submit.php - 处理表单提交
session_start();

if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (isset($_POST['csrf_token']) && isset($_SESSION['csrf_token']) && hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        // CSRF令牌验证成功,处理表单数据
        $username = $_POST['username'];
        $password = $_POST['password'];

        // 这里可以进行数据库操作或其他业务逻辑
        echo "Form submitted successfully! Username: $username, Password: $password";
    } else {
        // CSRF令牌验证失败
        http_response_code(403);
        echo "CSRF token validation failed. Please try again.";
    }
}
?>

总结

hash_equals() 函数在 PHP 中用于安全地比较两个字符串,特别适用于密码验证、CSRF 令牌验证以及其他需要防止时序攻击的场景。它通过逐字节比较和固定时间执行来确保比较操作的时间恒定,从而提高安全性。理解 hash_equals() 的工作原理和使用方法对于编写安全的 PHP 代码至关重要。

深入理解Avro和SchemaRegistry
AI天才研究院
08-01 2005
数据序列化与反序列化是数据传输、存储等领域中一个重要且基础的环节。Apache Avro 是 Apache 的一款开源的高性能数据序列化框架,它提供了数据序列化的语言无关性,支持复杂的数据结构,并且提供对数据 evolution(演进)的兼容性保证。Schema Registry 是一个独立于平台的服务,用于存储 Avro 消息的 schema。本文将详细阐述 Avro 和 Schema Registry 的相关知识点及其运作方式。
淘宝面试常见问题的答案来了,你看了吗?(一面及答案)
mzl_sx的博客
10-15 1564
1、redis sds优缺点、扩容收缩、扩容因子 SDS (简单动态字符串)是什么 其实,SDS 是 Redis 中实现的一种数据结构,主要用来存储字符串。 1、那 SDS 与 C 字符串相比有什么优势呢? 1.1、常数复杂度获取字符串长度 常规 C 字符串并不记录自身的长度信息,所以为了获取一个 C 字符串的长度,程序必须遍历整个字符串,对遇到的每个字符进行计数,直到遇到代表字符串结尾的空字符为止,这个操作的复杂度为 O(N)。 而 SDS 使用结构体实现,结构体中的 len 属性直接记录
hash_equals()函数
weixin_33918114的博客
12-13 1049
本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/92 了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。 本函数可以用在需要防止时序攻击...
php hash equals,hash_equals
weixin_32000561的博客
03-20 310
{if(func_num_args()!==2){//handlewrongparametercountasthenativeimplentationtrigger_error('hash_equals()expectsexactly2parameters,'.func_num_args().'given',E_USER_WARNING);returnnull;...
php 可防止时序攻击的字符串比较函数 hash_equals()
卩杉的博客笔记
01-08 2808
时序攻击 在 php 中比较字符串相等时如果使用双等 == 可能会有时序攻击的危险. 比如比较 "abscdd" == $request-&gt;code 那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就可以按位破解。 而使用 hash_equals 比较两个字符串,无论字符串是否相等,函数的时间消...
php hash equals,PHP hash_equals polyfill
weixin_39572168的博客
03-20 87
php.net 看到一個版本,然而卻有很多 downvotes,不知爲何。if(!function_exists('hash_equals')) {function hash_equals($str1, $str2) {if(strlen($str1) != strlen($str2)) {return false;} else {$res = $str1 ^ $str2;$ret = 0;f...
php hash equ,兼容性函数
weixin_29175469的博客
04-11 188
CodeIgniter 提供了一套兼容性函数,让你可以使用非原生的 PHP 函数,但是只有在更高的版本或者依赖于某个扩展插件。作为定制化实现,这些函数也有一定的依赖性,但是如果你的安装的 PHP 没有提供原生函数,它们还是很有用的。注意: 大部分和 通用函数 很像, 只要依赖性满足,兼容性函数一直可用。 哈希密码这套函数提供一个 PHP 标准“哈希密码扩展” 的 “反向移植” ,仅在 PHP 5....
2019史上最全java面试题题库大全800题含答案(面试宝典)
m0_54861649的博客
05-19 781
1、 meta标签的作用是什么 2、 ReenTrantLock可重入锁(和synchronized的区别)总结 3、 Spring中的自动装配有哪些限制? 4、 什么是可变参数? 5、 什么是领域模型(domain model)?贫血模型(anaemic domain model)和充血模型(rich domain model)有什么区别? 6、 说说http,https协议 7、"= =“和equals方法究竟有什么区别? 8、&和&&的区别? 9、.super.getClass
java面试题题库大全800题
zhaohuodian的博客
08-25 2029
618、实现一个函数clone,可以对JavaScript中的5种主要的数据类型(包括Number、String、Object、Array、Boolean)进行值复制。648、抽象的(abstract)方法是否可同时是静态的(static),是否可同时是本地方法(native),是否可同时被synchronized修饰?309、Session的save()、update()、merge()、lock()、saveOrUpdate()和persist()方法有什么区别?
微盾PHP脚本加密专家php解密算法
12-17
复制代码 代码如下: <?php /*********************************** *威盾PHP加密专家解密算法 By:Neeao *http://Neeao.com *2009-09-10 ***********************************/ $filename=”play-js.php”;//要解密的文件 $lines = file($filename);//0,1,2行 //第一次base64解密 $content=””; if(preg_match(“/O0O0000O0\(‘.*’\)/”,$lines[1],$y)) { $content
2022史上最全java面试题题库大全800题含答案
javaAnPou的博客
10-31 1462
2022史上最全java面试题题库大全800题含答案
phpequals6,Object类之equals方法
weixin_34296646的博客
04-02 192
在Object这个类里面equals方法默认的实现是当前对象引用和你要比较的对象的引用是不是同一个对象。 equals方法的返回值是boolean j2sdk提供了一些类,如:String Data等重写了equals方法例子程序:Java代码public class TestEquals {public static void main(String[] args) {Cat c1 = new ...
==与equals()的区别
bxznll_wjsfc的博客
07-09 255
==与equals()的区别 public static void main(String[] args) { String s = new String("ABC"); String s1 = new String("ABC"); System.out.println("ABC equals对比结果 : "+s.equals(s1)); System.out.println(s == s1); System.out.p
Laravel——数据库
weixin_34015860的博客
03-29 218
数据迁移 database/migrations/ 生成新增数据表迁移文件 php artisan make:migration create_users_table 复制代码class CreateFlightsTable extends Migration { /** * 用于添加新的数据表, 字段或者索引到数据库 */ public function up...
常用加密算法
zxj201611的博客
02-06 408
1.Base64-encoded 设计此种编码是为了使二进制数据可以通过非纯 8-bit 的传输层传输,例如电子邮件的主体。 Base64-encoded 数据要比原始数据多占用 33% 左右的空间。 2.MD5 计算字符串的 MD5 散列值 3.sha1 计算字符串的 sha1 散列值 4.rsa 一种非对称加密算法。 2009年12月12日,编号为RSA-768(768 ...
加密解密
weixin_39650971的博客
01-18 3399
一、MD5加密 /**      * 获取MD5加密后的字符串      * @param str 明文      * @return 加密后的字符串      * @throws Exception       */     public static String getMD5(String str) throws Exception {         /** 创建MD5加密对象 */  ...
php模型目录,laravel8更新之模型目录及模型工厂类调整
weixin_39751871的博客
03-11 161
laravel8更新之模型目录及模型工厂类调整2020-10-13 06:03:49 原文连接:https://www.wjcms.net/archive...模型目录调整不久前,泰勒·奥特威尔(Taylor Otwell)在Twitter上进行了一项民意调查,询问社区是否将所有模型都放在一个app/Models文件夹中或使用默认app/目录,并且大多数人表示他们将其模型放入app/Models。...
laravel8 模型自定义方法_Laravel8的那些新特性
weixin_31173113的博客
01-22 1232
新特性概览声明:Laravel 8 于 2020 年 9 月 8 日正式发布,不是 LTS 版本,所以 bug 修复支持会持续半年,到 2021 年 3 月 8 日,也就是下一个主版本 Laravel 9 发布前后,安全修复则会持续一年,到 2021 年 9 月 8 日。Laravel 8 在 Laravel 7.x 版本基础上继续进行优化,主要包含了以下更新:Laravel Jetstream模...
Hash算法是什么?原理
03-30
Hash算法(哈希算法)是一种将任意长度的输入(又称为“消息”)转化为固定长度输出(又称为“哈希值”)的算法。其原理是将输入通过一系列计算,映射到一个固定大小的哈希值上,使得相同的输入始终得到相同的哈希值,而不同的输入则尽可能地得到不同的哈希值。 具体来说,Hash算法会先将输入转化为一个固定长度的消息摘要(message digest),然后再对这个消息摘要进行一系列的运算,包括置换、加密、压缩等等,最终得到一个固定长度的哈希值。常见的Hash算法包括MD5、SHA-1、SHA-256等。 Hash算法具有一些重要的特性,包括: 1. 唯一性:相同的输入始终得到相同的哈希值,不同的输入则尽可能地得到不同的哈希值; 2. 不可逆性:无法从哈希值反推出原始输入; 3. 高效性:计算速度快,适合处理大量数据; 4. 抗碰撞性:难以找到两个不同的输入得到相同的哈希值。 Hash算法广泛应用于数据加密、数字签名、消息认证等领域。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值