使用PHP怎么實(shí)現(xiàn)散列密碼的安全性-創(chuàng)新互聯(lián)

使用PHP怎么實(shí)現(xiàn)散列密碼的安全性?針對(duì)這個(gè)問題,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答,希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡(jiǎn)單易行的方法。

目前成都創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)絡(luò)空間、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、烏魯木齊網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng),共同發(fā)展。

很多應(yīng)用,都是將用戶的密碼都是直接通過md5加密直接存儲(chǔ)到數(shù)據(jù)庫(kù)中的,包括我最近在用的開源項(xiàng)目zabbix的web管理界面。


$password = "1234";
$hash = md5($password);
echo $res;

php常用的哈希函數(shù)有md5和sha1,這種哈希之后,一般是不可逆的,但是可以重現(xiàn),也就是說同樣的明文,哈希之后的結(jié)果是一樣的,對(duì)于一些簡(jiǎn)單的明文,是可以通過遍歷,然后對(duì)照加密之后的密文得到明文的。

網(wǎng)上有流傳的“彩虹表”,就是遍歷的到的一個(gè)非常大的數(shù)據(jù)庫(kù),存儲(chǔ)了明文和密文的對(duì)照關(guān)系,通過查詢就能得到密文對(duì)應(yīng)的明文。

/tupian/20230522/>$password = "1234"; $salt = "s@jn#.sK_jF3;gg*&"; $hash = md5($password.$salt); echo $res;

同樣的明文“1234”,加了一個(gè)比較復(fù)雜的“鹽”之后,再進(jìn)行加密,解密的難度就增加了不少,在上面的解密網(wǎng)站是就不能被解密出來(lái)了(最起碼不付錢是解密不出來(lái)的,哈哈哈)。

上面我們對(duì)所有的密碼都使用的同樣的鹽,這中方式是不大安全的。比如,張三和李四的密碼是一樣的,則存儲(chǔ)在數(shù)據(jù)庫(kù)中的密文也是一樣的,這無(wú)疑讓黑客更容易破解了。

更常使用的方式,是對(duì)于不同的用戶使用不同的鹽進(jìn)行加密,在用戶的注冊(cè)過程中,生成用戶對(duì)應(yīng)的鹽,然后進(jìn)行存儲(chǔ);在用戶登錄時(shí),取出鹽用于加密操作,鹽和用戶id一一對(duì)應(yīng)。

可以使用php自帶的random_bytes生成一定長(zhǎng)度的鹽

$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;

關(guān)于鹽的存儲(chǔ)

可以將鹽和密文一起存在數(shù)據(jù)庫(kù)的用戶信息表中,優(yōu)點(diǎn)是數(shù)據(jù)庫(kù)查詢?nèi)〕雒艽a的同時(shí)也可以取出鹽,進(jìn)行加密比對(duì)操作,一次數(shù)據(jù)查詢就可以搞定,缺點(diǎn)是安全性差,如果黑客“脫褲”成功,則獲取密文的同時(shí)也獲取了對(duì)應(yīng)的鹽。

更好的方案是將鹽和密文分開存儲(chǔ),比如密文存儲(chǔ)在mysql數(shù)據(jù)庫(kù)中,鹽存儲(chǔ)在redis服務(wù)器中,這樣即使黑客“脫褲”拿到了數(shù)據(jù)庫(kù)中的密文,也需要再進(jìn)一步拿到對(duì)應(yīng)的鹽才能進(jìn)一步破解,安全性更好,不過這樣需要進(jìn)行二次查詢,即每次登陸都需要從redis中取出對(duì)應(yīng)的鹽,犧牲了一定的性能,提高了安全性。

php5.5中更加安全的解決方案

說php是專為為web設(shè)計(jì)的語(yǔ)言一點(diǎn)也沒錯(cuò),應(yīng)該是php開發(fā)者也注意到了這個(gè)密碼保存的問題。

于是php5.5開始,就設(shè)計(jì)了password_hashing模塊,用于密碼的哈希和驗(yàn)證。

http://php.net/manual/zh/book.password.php

使用password_hash進(jìn)行哈希,使用的算法、cost 和鹽值作為哈希的一部分返回,所以不用單獨(dú)保存salt的值,因?yàn)樗看味紩?huì)自己生成salt,所以優(yōu)點(diǎn)就是“每次加密的結(jié)果都不一樣”,但是可以放心,加密結(jié)果包含了salt信息,password_verify可以正確解析。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);

哈希之后的結(jié)果,只能使用password_verify進(jìn)行驗(yàn)證,因此驗(yàn)證密碼的功能只能由php語(yǔ)言來(lái)實(shí)現(xiàn)。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash);  //驗(yàn)證結(jié)果為true

優(yōu)缺點(diǎn)分析

優(yōu)點(diǎn)是安全性很高,即使被脫褲,也很難將密文解密,因?yàn)橥粋€(gè)密文,每次加密的結(jié)果都不一樣,所以沒法撞庫(kù)!

password_hash實(shí)際上是對(duì)crypt和salt的封裝,crypt加密比普通的md5和sha1更加復(fù)雜,所以耗時(shí)也更加多一些,這可以算是一個(gè)缺點(diǎn),對(duì)于用戶量很大,經(jīng)常需要進(jìn)行登錄操作的站點(diǎn),可能會(huì)有性能上的影響。還有一點(diǎn)是通用性不強(qiáng),因?yàn)檫@種方式只適用于php語(yǔ)言,其他語(yǔ)言是沒有辦法對(duì)密文進(jìn)行操作的。

剛才測(cè)試了一下password_hash的性能,嚇的半死。。

md5.php

<?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023*&*(&()#&*(Y*(@&*<:L:%:::>><??11!!^%^$%$%^<>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i<100;$i++){
  $res = md5($password);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

運(yùn)行結(jié)果:

stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348

password_hash.php

<?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i<100;$i++){
  $res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

運(yùn)行結(jié)果:

stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424

關(guān)于使用PHP怎么實(shí)現(xiàn)散列密碼的安全性問題的解答就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關(guān)知識(shí)。

分享名稱:使用PHP怎么實(shí)現(xiàn)散列密碼的安全性-創(chuàng)新互聯(lián)
轉(zhuǎn)載來(lái)于:http://muchs.cn/article4/ddscoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)頁(yè)設(shè)計(jì)公司、品牌網(wǎng)站建設(shè)、網(wǎng)站維護(hù)商城網(wǎng)站、手機(jī)網(wǎng)站建設(shè)網(wǎng)站設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)