php 可防止时序攻击的字符串比较函数 hash_equals()

最新推荐文章于 2024-01-15 11:27:37 发布
最新推荐文章于 2024-01-15 11:27:37 发布
阅读量2.7k 收藏 2
点赞数 3
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobinqt/article/details/86084296
版权

时序攻击

在 php 中比较字符串相等时如果使用双等 == 可能会有时序攻击的危险.

比如比较

"abscdd" == $request->code

那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就可以按位破解。

而使用 hash_equals 比较两个字符串,无论字符串是否相等,函数的时间消耗是恒定的,这样可以有效的防止时序攻击。

hash_equals('abscdd',$request->code)

 

参考

http://php.net/manual/zh/function.hash-equals.php

卩杉
关注
专栏目录
hash_equals()函数
weixin_33918114的博客
12-13 1009
本文同时发表在https://github.com/zhangyachen/zhangyachen.github.io/issues/92 了解下hash_equals的概念: bool hash_equals ( string $known_string , string $user_string ) 比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。 本函数可以用在需要防止时序攻击...
String 类型 equals比较初步理解,以及 safeEquals 比较 两种不同风格的方式
大清没了的博客
07-01 1111
文章部分引用自https://mp.weixin.qq.com/s/XlBXwsCzNf_tUkTnuX3bnA 先贴一段代码,代码点进equals源码就能看到 public boolean equals(Object var1) { if (this == var1) { return true; } else { if (var1 instanceof String) { Strin..
php字符串比较函数
yml957803796_1的专栏
07-13 186
比较两个字符串是否相等,最常见的方法就是使用“===”来判断,至于它和“==”的区别,简单来说就是前者强调“identical”类型也要求一样;后者要求“equal”,值相同就可以了,参考【1】。或者使用strcmp来判断,但是这个能够告诉你两个字符串是否相等,但是无法告诉你在那里不同。我的思路是单字符串分割为一个个字母(character),这样比较就能精确知道在那个位置不同了。分隔字符串,使用...
php hash equals,hash_equals
weixin_32000561的博客
03-20 271
{if(func_num_args()!==2){//handlewrongparametercountasthenativeimplentationtrigger_error('hash_equals()expectsexactly2parameters,'.func_num_args().'given',E_USER_WARNING);returnnull;...
php hash equ,兼容性函数
weixin_29175469的博客
04-11 158
CodeIgniter 提供了一套兼容性函数,让你可以使用非原生的 PHP 函数,但是只有在更高的版本或者依赖于某个扩展插件。作为定制化实现,这些函数也有一定的依赖性,但是如果你的安装的 PHP 没有提供原生函数,它们还是很有用的。注意: 大部分和 通用函数 很像, 只要依赖性满足,兼容性函数一直可用。 哈希密码这套函数提供一个 PHP 标准“哈希密码扩展” 的 “反向移植” ,仅在 PHP 5....
判断两个hash值是否相等的PHP代码
05-23
在这个示例中,我们首先使用 `hash()` 函数对两个字符串进行哈希处理,然后使用 `hash_equals()` 函数比较两个哈希值是否相等。如果相等,输出“The two hash values are equal.”;否则,输出“The two hash values...
PHP开发安全问题之弱数据类型的安全问题
最新发布
weixin_52345129的博客
01-15 765
01 弱数据类型的安全问题02 Hash比较03 bool比较04 数字转换比较05 switch比较06 数组比较PHP的数据类型有很多,包含:字符串(String)、整型(Integer)、浮点型(Float)、布尔型(Boolean)、数组(Array)、对象(Object)、空(Null)和资源(Resource)。但PHP是一种弱类型语言,这造就了PHP的简单易学,但也容易写出漏洞。弱类型指的是变量无需类型声明,在代码执行过程中,可以动态变换。
常见PHP框架CSRF防范方案分析
X先生说
04-20 352
什么是CSRF CSRF(跨站请求伪造)是一种恶意的攻击,它凭借已通过身份验证的用户身份来运行未经过授权的命令。网上有很多相关介绍了,具体攻击方式就不细说了,下面来说说Laravel和Yii2是如何来做CSRF攻击防范的。 Laravel CSRF防范 本次对Laravel CSRF防范源码的分析是基于5.4.36版本的,其他版本代码可能有所不同,但原理是相似的。 Laravel通过中间件app/...
hash_equals 判断 字符串值是否相等
范特西的博客
02-22 5253
hash_equals 是可防止时序攻击字符串比较,那么什么是时序攻击呢?比如这段代码我们使用 $verifyData['code'] == $request->verification_code 进行比较,那么两个字符串是从第一位开始逐一进行比较的,发现不同就立即返回 false,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的...
PHP字符串比较函数strcmp()和strcasecmp()使用总结
qq_37768690的博客
03-07 828
比较字符串是任何编程语言的字符串处理功能中重要的特性之一。在PHP中除了可以使用比较运算符号(==、)加以比较外,还提供了一系列的比较函数,使PHP可以进行更复杂的字符串比较。如strcmp()、strcasecmp()和strnatcmp()等函数。 1.按字节顺序进行字符串比较 要按字节顺序进行字符串的比较,可以使用strcmp()和strcasecmp()两个函数,其中函数str
php字符串比较函数有哪些,php字符串比较函数实例
weixin_39564187的博客
03-17 247
php中,php字符串比较函数主要有strcmp()、strcasecmp()、strncasecmp()、strncmp()等。本节通过实例学习下php字符串比较函数的用法。区分大小写字符串的比较strcmp()函数对字符串按照ASCⅡ码值进行比较,如果前者比后者大,则返回大于0的整数。如果前者比后者小,则返回小于0的整数。二者相等,则返回0.例1:复制代码 代码示例:echo strcmp(...
php中比较字符串,php中常用字符串比较函数
weixin_39540315的博客
03-10 147
substr_compare() 函数从指定的开始长度比较两个字符串。该函数返回:0 - 如果两字符串相等<0 - 如果 string1 (从开始位置)小于 string2>0 - 如果 string1 (从开始位置)大于 string2语法substr_compare(string1,string2,startpos,length,case)*/$str1="hello world"...
php hash equals,PHP hash_equals polyfill
weixin_33462927的博客
03-20 64
php.net 看到一個版本,然而卻有很多 downvotes,不知爲何。if(!function_exists('hash_equals')) {function hash_equals($str1, $str2) {if(strlen($str1) != strlen($str2)) {return false;} else {$res = $str1 ^ $str2;$ret = 0;f...
php关于字符串比较函数,几个常用的php字符串比较函数用法汇总
weixin_39680609的博客
03-26 166
这篇文章主要介绍了php常用字符串比较函数,实例汇总了substr_compare、strncasecmp、strncmp、strcoll等常用函数,具有一定的参考借鉴价值,需要的朋友可以参考下substr_compare() 函数从指定的开始长度比较两个字符串,该函数返回:0 - 如果两字符串相等,<0 - 如果 string1 (从开始位置)小于 string2,>0 - 如果 s...
php哪些函数能比较字符串,php中常用字符串比较函数
weixin_42394785的博客
03-12 276
substr_compare() 函数从指定的开始长度比较两个字符串,该函数返回:0 - 如果两字符串相等,<0 - 如果 string1 (从开始位置)小于 string2,>0 - 如果 string1 (从开始位置)大于 string2.语法:substr_compare(string1,string2,startpos,length,case),代码如下:$str1="hell...
PHP中比较重要的几个字符串函数
CrazyBoyKing的博客
10-12 462
explode 分割字符串 $str = &quot;Hello world. I love Shanghai!&quot;; print_r (explode(&quot; &quot;,$str)); 输出 Array ( [0] =&amp;gt; Hello [1] =&amp;gt; world. [2] =&amp;gt; I [3] =&amp;gt; love [4] =&amp;gt; Shanghai! ) im
equals函数hash计算
蚂蚁的博客
08-17 585
应用场景 在Java中常用来判断两个对象是否相等的函数equalshashCode方法,最常见的就是在集合容器中,例如HashSet和HashMap中,保存两个不同的对象,所以需要提供一个合理的关于equalshashCode的配置,以使得集合具有正确的使用性质。 示例 以典型的point为测试用例,为了保证集合中不存在两个相同(内容相同)的point,所以提供了重写的hashCode
哈希表与字符串Hash函数在ACM竞赛中的应用
在提供的代码中,展示了ELF哈希函数的实现,这是一种常见的字符串哈希函数函数`ELFhash`接收一个字符指针`key`作为输入,通过位移和异或运算生成哈希值。这种方法可以降低哈希冲突的概率,但并不是唯一的方法。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值