php安全的密码存储方式,如何安全地存储用户的密码?

最新推荐文章于 2023-12-17 21:02:07 发布
最新推荐文章于 2023-12-17 21:02:07 发布
阅读量313 收藏
点赞数
文章标签: php安全的密码存储方式

获得密码存储方案安全的最简单方法是使用标准库.

由于安全性往往要复杂得多,而且比大多数程序员单独处理的可能性更不可见,所以使用标准库几乎总是最简单和最安全的(如果不是唯一的)可用选项。

新的PHP密码API(5.5.0+)

如果使用的是PHP5.5.0或更高版本,则可以使用新的简化密码散列API

使用PHP密码API的代码示例:<?php // $hash is what you would store in your database$hash = password_hash($_POST['password'], PASSWORD_DEFAULT, ['cost' => 12]);

// $hash would be the $hash (above) stored in your database for this user$checked = password_verify($_POST['password'], $hash);if ($checked) {

echo 'password correct';} else {

echo 'wrong credentials';}

(如果您仍在使用遗留5.3.7或更高版本,则可以安装ircmaxell/Password Comat访问内置函数)

改进盐渍散列:加入胡椒粉

如果你想要额外的安全,安全人员现在(2017年)建议增加一个‘胡椒粉‘到(自动)咸密码散列。

有一个简单的类可以安全地实现这个模式,我建议:Netsilik/PepperedPassword (GitHub).

它附带麻省理工学院的许可证,所以你可以任意使用它,甚至在专有项目中也是如此。

代码使用示例Netsilik/PepperedPasswords:<?phpuse  Netsilik/Lib/PepperedPasswords;// Some long, random, binary string, encoded as hexadecimal; stored in your configuration

(NOT in your Database, as that would defeat the entire purpose of the pepper).$config['pepper'] = hex2bin('012345679ABCDEF01234

5679ABCDEF012345679ABCDEF012345679ABCDEF');$hasher = new PepperedPasswords($config['pepper']);// $hash is what you would store in yo

ur database$hash = $hasher->hash($_POST['password']);// $hash would be the $hash (above) stored in your database for this user$chec

ked = $hasher->verify($_POST['password'], $hash);if ($checked) {

echo 'password correct';} else {

echo 'wrong credentials';}

旧标准图书馆请注意:你不应该再需要这个了!这只是为了历史的目的。

看一看:可移植PHP密码散列框架: PPASS并确保您使用CRYPT_BLOWFISH算法,如果有可能的话。

使用phpass(v0.2)的代码示例:<?phprequire ('PasswordHash.php');$pwdHasher = new PasswordHash(8, FALSE);

// $hash is what you would store in your database$hash = $pwdHasher->HashPassword( $password );

// $hash would be the $hash (above) stored in your database for this user$checked = $pwdHasher->CheckPassword($password, $hash);

if ($checked) {

echo 'password correct';} else {

echo 'wrong credentials';}

PHPass已在一些非常著名的项目中得到实施:phpBB3

WordPress 2.5+和bbPress

Drupal 7版本(模块可用于Drupal 5和6)

好的是,你不需要担心细节,这些细节已经由有经验的人编程,并在互联网上的许多人审查。

有关密码存储方案的详细信息,请参阅杰夫博文:你可能把密码放错了

不管你做什么如果你去我自己来,谢谢“接近,不使用MD5或SHA1更多..它们是不错的散列算法,但是考虑到了为安全目的而中断.

目前,使用地窖,使用地窖_河豚是最好的做法。

PHP中的crypt_BUFISH是bcrypt散列的一个实现。bcrypt基于Blowfish分组密码,利用它昂贵的密钥设置来降低算法的速度。

默默无闻的路人甲
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php存储用户ID和密码到mysql数据库的方法
10-27
对用户身份验证,最常用的方法就是将用户id与密码保存进数据库中了,然后再写一些登录检测代码,就可以使用了
php安全密码存储方式,php – 最佳实践:将密码存储在表中的最安全的方法?...
weixin_31813357的博客
03-17 97
更新答案2016:PHC(密码哈希竞争)的获胜者是Argon2.与Argon2的密码是2016年的最佳做法.PHC ran from 2013 to 2015 as an open competition—the same kind of process as NIST’s AES and SHA-3 competitions, and the most effective way to deve...
php 用户密码存储,用户密码存储方式
weixin_39640221的博客
03-25 276
用户密码存储方式用户注册时:1)用户提供密码(以及其他用户信息);2)系统为用户生成Salt值;3)系统将Salt值和用户密码连接到一起;4)对连接后的值进行散列,得到Hash值;5)将Hash值和Salt值分别放到数据库中。 登录时:1)用户提供用户名和密码;2)系统通过用户名找到与之对应的Hash值和Salt值;3)系统将Salt值和用户提供的密码连接到一起;4)对连接后的值进行散列,得到Ha...
php安全密码存储方式,php – 如何安全存储用户密码? - 程序园
weixin_42641998的博客
03-17 247
获取密码存储方案安全的最简单方法是使用标准库。因为安全性往往比大多数程序员单独处理更复杂和更隐蔽的可能性,使用标准库几乎总是最简单和最安全(如果不是唯一的)可用选项。新的PHP密码API(5.5.0)如果您使用PHP版本5.5.0或更高版本,或者如果您使用的是5.3.7或更高版本并安装ircmaxell/password_compat,则可以使用新的简化密码哈希API使用PHP密码API的代码示...
php 存储密码并加密
webmazha的博客
03-27 1423
//设置cookie public function auth(){ cookie('user_id',$this->user_id); cookie('username',$this->username); cookie('ccode', encCookie($this->user_id,$this->username)); } //收回权限revoke() public
php安全密码存储方式,php安全密码生成和存储
weixin_42392438的博客
03-17 175
我正在构建一个登录系统,我想确保我正在编写写代码以在db中生成和存储密码. $options [‘passwd’]是用户选择作为密码的字符串.这是我生成哈希的代码:public function createPasswd($options) {$hash_seed = 'm9238asdasdasdad31d2131231231230132k32ka¡2da12sm2382329';$passwo...
如何在PHP中进行安全密码存储
周祥平程序专栏
12-17 418
通过采取上述安全措施,您可以提高用户密码安全性,减少密码泄露的风险,并确保用户数据的保密性。密码哈希是一种有效的密码存储方法,但一定要使用正确的算法和实施额外的安全措施以确保密码安全性。相反,使用密码哈希算法对密码进行哈希处理,并将哈希值存储在数据库中。在PHP中进行安全密码存储是确保用户密码不会在存储和传输过程中泄露的关键步骤。使用强大的数据库访问控制和防火墙来保护数据库。定期要求用户更改密码,并重新哈希存储在数据库中的密码,以增加安全性。在每个用户的密码上应用随机生成的盐,以增加哈希的独特性。
现行安全存储策略-密码加盐
weixin_41508948的博客
08-06 741
本文描述了本人,对于数据库中如何保存密码的认识过程。从最简单的明文保存到密码加盐保存,下面与大家分享下: 第一阶段 最开始接触web开发时,对于用户表的密码基本是明文保存,如: username | password ---------|---------- zp1996 |123456 zpy |123456789 这种方式可以说很不安全,一旦数据库泄漏,那么所以得用户信...
如何安全存储用户密码
我的专栏
03-07 1128
据说,现在的彩虹表已经能够破解8位长度的任意md5hash......每一个用户,每一个密码都要使用不同的盐。用户每次创建账户或者修改密码都要使用一个新的随机盐。永远不要重复使用盐。盐的长度要足够,一个经验规则就是盐的至少要跟hash函数输出的长度一致。盐应该跟hash一起存储在用户信息表里。
详谈PHP中的密码安全性Password Hashing
12-18
如果你还在用md5加密,... * password_verify()用于将用户输入的密码和数据库存储密码比对。成功返回true,否则false */ $passwordHash = password_hash('secret-password', PASSWORD_DEFAULT); echo $passwordHash;
PHP中散列密码安全性分析
01-02
很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库中的,包括我最近在用的开源项目zabbix的web管理界面。 $password = 1234; $hash = md5($password); echo $res; php常用的哈希函数有md5和sha1,...
php用户名的密码加密更安全的方法
01-20
php中对用户密码的加密主要有两种方法,一种是利用md5加密,另一种是利用password_hash加密,两种方法中后一种的方法比前一种方法安全很多,几乎不能被黑客破解,但php版本必须在5.5以上。下面介绍两种加密方法如何...
node-v5.11.0-x86.msi
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
41532698775097Facebook Lite_405.0.0.8.113_apkcombo.com.armeabi-v7a.apk
05-07
41532698775097Facebook Lite_405.0.0.8.113_apkcombo.com.armeabi-v7a.apk
2024-2030中国RDF制粒机市场现状研究分析与发展前景预测报告.docx
05-07
2024-2030中国RDF制粒机市场现状研究分析与发展前景预测报告
财务困境-RLPM模型.xlsx
最新发布
05-07
详细介绍及样例数据:https://blog.csdn.net/li514006030/article/details/138549562
基于python实现的Socket服务器与传感器通讯手段实现的家庭能源管理系统
05-07
【作品名称】:基于Socket作为服务器与传感器通讯手段实现的家庭能源管理系统 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。
node-v9.10.0-linux-armv7l.tar.xz
05-07
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
信息素养大赛的模拟题目
05-07
内容概要: 此资源为信息素养大赛的算法创意实践挑战赛的模拟题目,包含:选择题、填空题、编程题。内容完全为自己整合,请各位同学及家长放心使用。
写一个PHP加密算法存储密码
05-30
好的,以下是一个使用 PHP 的哈希加盐算法来存储密码的示例: ```php // 生成盐值 function generateSalt() { $salt = ''; $saltLength = 10; for ($i = 0; $i $saltLength; $i++) { $salt .= chr(mt_rand(33, ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值