password_hash和password_verify函数

最新推荐文章于 2024-03-15 23:21:18 发布
最新推荐文章于 2024-03-15 23:21:18 发布
阅读量1k 收藏
点赞数
分类专栏: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghao143lina/article/details/105123403
版权

password_hash和password_verify函数

一、前言
PHP5.5提供了许多新特性及Api函数,其中之一就是Password Hashing API(创建和校验哈希密码)。
它包含4个函数:password_get_info()、password_hash()、password_needs_rehash()、password_verify()。
在PHP5.5之前,我们对于密码的加密可能更多的是采用md5或sha1之类的加密方式(没人像CSDN那样存明文吧。。),如:

echo md5("123456"); //输出: e10adc3949ba59abbe56e057f20f883e
  •  

但是简单的md5加密很容易通过字典的方式进行破解,随便找个md5解密的网站就能获取原始密码。
二、Password Hashing API
php5.5提供的Password Hashing API就能很好的解决这些问题。
我们先来看password_hash()函数:

代码如下:

string password_hash ( string $password , integer $algo [, array $options ])
  •  

它有三个参数:密码、哈希算法、选项。前两项为必须的。
让我们使用password_hash()简单的创建一个哈希密码:
代码如下:

$pwd = "123456";
$hash = password_hash($pwd, PASSWORD_DEFAULT);
echo $hash;

上例输出结果类似:$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2
并且刷新页面该哈希值也会不断的变化。
哈希值创建完毕,我们可以用password_verify()来校验密码是否和哈希值匹配:
代码如下:

boolean password_verify ( string $password , string $hash )
  •  

它接收2个参数:密码和哈希值,并返回布尔值。检查之前生成的哈希值是否和密码匹配:

代码如下:

if (password_verify($pwd,'$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2')) { 
    echo "密码正确";
} else {  
    echo "密码错误";
}

基本上使用以上这2个函数就能安全的创建和校验hash密码了,还有另外2个API函数:

代码如下:

password_get_info()              //查看哈希值的相关信息
password_needs_rehash()     //检查一个hash值是否是使用特定算法及选项创建的

三、点评
虽然通过password_hash()创建的哈希密码更加安全,但是却降低了互操作性。
如我们使用md5方式,在php中用标准的MD5加密,很容易通过其他语言来校验,如node.js:
代码如下:

var hash = crypto.createHash('md5').update("123456").digest('hex');
if(hash == "e10adc3949ba59abbe56e057f20f883e")  console.log('密码正确');

而使用password_hash()加密的哈希值基本只能通过PHP的password_verify来校验。
这2种方法各有优劣,是使用md5(或sha1等)+salt(干扰字符串)的方式还是使用password_hash()大家根据具体情况取舍把。

十年砍柴---小火苗
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP的password_hash()使用实例
10-26
主要介绍了PHP的password_hash()使用实例,需要的朋友可以参考下
php password_php password_verify函数怎么用
weixin_39755712的博客
03-09 319
php password_verify函数用于验证密码是否和散列值匹配,其语法是bool password_verify ( string $password , string $hash ),参数password指用户的密码,hash指一个由password_hash()创建的散列值。php password_verify函数怎么用?password_verify() 函数用于验证密码是否和散列...
PHP中的password_verify()函数是干什么的?
最新发布
长风破浪会有时的博客
03-15 248
函数在PHP中就像是一个密码检查员。它的工作是帮助你确定一个人输入的密码是否和之前存储的加密密码匹配。
php password_hashpassword_verify
ljwy1234的博客
12-24 2015
password_hash() 使用足够强度的单向散列算法创建密码的散列(hash)。 password_hash() 兼容 crypt()。 所以, crypt() 创建的密码散列也可用于 password_hash()。 当前支持的算法: PASSWORD_DEFAULT - 使用 bcrypt 算法 (PHP 5.5.0 默认)。 注意,该常量会随着 PHP 加入更新更高强度的算法而改...
password_verify() 函数
冷月醉雪的博客
04-27 2115
查看更多 https://www.yuque.com/docs/share/9418d648-43e4-4d44-a951-c0ff6d99d475
php 密码加密(password_hash
热门推荐
技术的搬运工
03-14 1万+
只要不设置,它会自动创建安全的盐值。就像以上提及的,在 PHP 7.0 提供 salt选项会导致废弃(deprecation)警告。未来的 PHP 发行版里,手动提供盐值的功能可能会被删掉。注意,该常量会随着 PHP 加入更新更高强度的算法而改变。所以,使用此常量生成结果的长度将在未来有变化。因此,数据库里储存结果的列可超过60个字符(最好是255个字符)。2、 在自己的服务器上做基准测试,调整 cost 参数直至函数时间开销小于 100 毫秒(milliseconds)。
password_hash, password_verify
脚步6978
03-04 560
password_hash() 函数用于创建密码的散列(hashpassword_verify() 函数用于验证密码是否和散列值匹配 vendor/laravel/framework/src/Illuminate/Hashing/BcryptHasher.php /** * Hash the given value. * * @param string $value * @param array $options * @return string * * @t...
你还在用php md5加密?你可以使用一下hash的这一种加密方式
weixin_36521716的博客
01-03 1755
php md5还原原来,在PHP中更新旧的存储的md5密码以提高安全性
weixin_39695323的博客
03-20 274
好的,我们在这里讨论几点>你在$salt中所拥有的不是盐.这是确定性的(意味着根本就没有随机性).如果您想要盐,请使用mcrypt_create_iv($size, MCRYPT_DEV_URANDOM)或其他一些实际随机熵源.关键是它应该既独特又随意.请注意,它不需要加密安全随机…在绝对最差的情况下,我会做这样的事情:function getRandomBytes($length) {$b...
mysql_password_hash:MySQL密码和哈希生成器
05-26
mysql_password_hash MySQL密码和哈希生成器该Python程序创建了一个MySQL 5密码哈希,可用于使用哈希而不是密码来创建MySQL GRANTS。 这在许多情况下很有用,包括使用Puppet的Puppetlabs-MySQL模块,该模块在创建...
哈希密码破解还原常用方法
05-18
很多密码都是哈希后保存的,由于哈希码由不可逆的函数生成,我们没有办法直接解密。如果要快速破解这类码值,综合使用多种资源……
V15 PRJ open_open_S7passwordhash_
09-29
S7 Password open archived
[示例][PHP]password_compat-masterPHP5.5密码功能PHP库.zip
12-15
相信很多PHP开发者在最先接触PHP的时候,处理密码的首选加密函数...而这里即将要说到的SHA256 和 SHA512都是来自于SHA2家族的加密函数,看名字可能你就猜的出来了,这两个加密方式分别生成256和512比特长度的hash字串。
PHP password_hashpassword_verify 使用
夏已微凉、
05-07 501
一、代码二、浏览器输出三、不同语言的写法 一、代码 public function test() { //设置密码 $pwd = "123456"; //密码加密 $hashed = password_hash($pwd, PASSWORD_DEFAULT); echo "加密后为 {$hashed} <br/>"; //密码校验 $flag = password_verify($pwd, $hashed); if ($fla.
PHP 非对称加密函数password_hash() 替代Md5()
weixin_30542079的博客
12-21 214
$hashed_password = password_hash('mypassword',PASSWORD_BCRYPT); var_dump(password_verify ('mypassword', $hashed_password.''));#结果true 我们一般习惯性的使用MD5方法进行用户密码的加密处理,但是常见的Md5方法非常容易被一些大型解密网站破解;PHP提供...
使用 PHP 和 MySQL 的安全登录系统
allway2的博客
08-17 1315
我们将使用这些变量来确定用户是否登录,并将会话变量与我们检索到的 MySQL 数据库结果相关联。我们现在将创建一个表单,我们的用户可以使用它来输入他们的详细信息并提交它们以供处理。但是,我不建议删除散列函数,因为如果您的数据库以某种方式暴露,那么存储在帐户表中的所有密码也将暴露。上面的代码从数据库中检索额外的账户信息,和之前的主页一样,我们不需要连接到数据库,因为我们检索了存储在会话中的数据。最初,代码将启动会话,因为这使我们能够在服务器上保留帐户详细信息,稍后将用于记住登录用户。这是一个非常基本的主页。.
Golang实现php的两个函数password_hashpassword_verify
mrtwenty的博客
06-14 2540
利用golang.org/x/crypto/bcrypt 包里面实现,使用前请先 go get 安装此包。 对用户的密码进行hash处理,可以用下面两个函数实现。 package main import ( "fmt" "golang.org/x/crypto/bcrypt" ) func PasswordHash(password string) (string, error) ...
PHP 密码哈希password_hash的使用方法
郎涯技术
12-18 5545
每个人在建构 PHP 应用时终究都会加入用户登录的模块。用户的帐号及密码会被储存在数据库中,在登录时用来验证用户。 在存储密码前正确的 哈希密码 是非常重要的。哈希密码是单向不可逆的,该哈希值是一段固定长度的字符串且无法逆向推算出原始密码。这就代表你可以哈希另一串密码,来比较两者是否是同一个密码,但又无需知道原始的密码。如果你不将密码哈希,那么当未授权的第三者进入你的数据库时,所有用户的帐号资料将...
Java salt encrypt password
07-27
Sure! In Java, you can use a salt-based encryption technique to secure passwords. Here's an example of how you can achieve this using the Java Cryptography Architecture (JCA): ```java import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; import java.util.Base64; public class PasswordEncryption { public static void main(String[] args) { String password = "password123"; // Replace with the actual // Generate a random salt byte[] salt = generateSalt(); // Hash the password with the salt String hashedPassword = hashPassword(password, salt); System.out.println("Salt: " + Base64.getEncoder().encodeToString(salt)); System.out.println("Hashed Password: " + hashedPassword); } private static byte[] generateSalt() { SecureRandom random = new SecureRandom(); byte[] salt = new byte[16]; random.nextBytes(salt); return salt; } private static String hashPassword(String password, byte[] salt) { try { MessageDigest md = MessageDigest.getInstance("SHA-256"); md.update(salt); byte[] hashedPassword = md.digest(password.getBytes()); return Base64.getEncoder().encodeToString(hashedPassword); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); return null; } } } ``` In this example, we use the SHA-256 hashing algorithm to hash the password. The `generateSalt()` method generates a random salt, and the `hashPassword()` method hashes the password using the salt. The salt and hashed password are then printed to the console for demonstration purposes. Remember to replace `"password123"` with the actual password you want to encrypt. Also, ensure that you store the generated salt securely along with the hashed password for future verification.

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值