在使用PHP開發(fā)Web應(yīng)用的中,很多的應(yīng)用都會要求用戶注冊,而注冊的時候就需要我們對用戶的信息進行處理了,最常見的莫過于就是郵箱和密碼了,本文意在討論對密碼的處理:也就是對密碼的加密處理。
成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站設(shè)計、成都網(wǎng)站制作、景縣網(wǎng)絡(luò)推廣、微信小程序定制開發(fā)、景縣網(wǎng)絡(luò)營銷、景縣企業(yè)策劃、景縣品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等,從售前售中售后,我們都將竭誠為您服務(wù),您的肯定,是我們最大的嘉獎;成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供景縣建站搭建服務(wù),24小時服務(wù)熱線:13518219792,官方網(wǎng)址:muchs.cn
MD5
相信很多PHP開發(fā)者在最先接觸PHP的時候,處理密碼的首選加密函數(shù)可能就是MD5了,我當(dāng)時就是這樣的:
$password = md5($_POST["password"]);
上面這段代碼是不是很熟悉?然而MD5的加密方式目前在PHP的江湖中貌似不太受歡迎了,因為它的加密算法實在是顯得有點簡單了,而且很多破解密碼的站點都存放了很多經(jīng)過MD5加密的密碼字符串,所以這里我是非常不提倡還在單單使用MD5來加密用戶的密碼的。
SHA256 和 SHA512
其實跟前面的MD5同期的還有一個SHA1加密方式的,不過也是算法比較簡單,所以這里就一筆帶過吧。而這里即將要說到的SHA256 和 SHA512都是來自于SHA2家族的加密函數(shù),看名字可能你就猜的出來了,這兩個加密方式分別生成256和512比特長度的hash字串。
他們的使用方法如下:
?php
$password = hash("sha256", $password);
PHP內(nèi)置了hash()函數(shù),你只需要將加密方式傳給hash()函數(shù)就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。
鹽值
在加密的過程,我們還有一個非常常見的小伙伴:鹽值。對,我們在加密的時候其實會給加密的字符串添加一個額外的字符串,以達到提高一定安全的目的:
?php
function generateHashWithSalt($password) {$intermediateSalt = md5(uniqid(rand(), true));$salt = substr($intermediateSalt, 0, 6);
return hash("sha256", $password . $salt);}
Bcrypt
如果讓我來建議一種加密方式的話,Bcrypt可能是我給你推薦的最低要求了,因為我會強烈推薦你后面會說到的Hashing API,不過Bcrypt也不失為一種比較不錯的加密方式了。
?php
function generateHash($password) {
if (defined("CRYPT_BLOWFISH") CRYPT_BLOWFISH) {$salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);return crypt($password, $salt);
}
}
Bcrypt 其實就是Blowfish和crypt()函數(shù)的結(jié)合,我們這里通過CRYPT_BLOWFISH判斷Blowfish是否可用,然后像上面一樣生成一個鹽值,不過這里需要注意的是,crypt()的鹽值必須以$2a$或者$2y$開頭,詳細資料可以參考下面的鏈接:
更多資料可以看這里:
Hashing API
這里才是我們的重頭戲,Password Hashing API是PHP 5.5之后才有的新特性,它主要是提供下面幾個函數(shù)供我們使用:
password_hash() – 對密碼加密.
password_verify() – 驗證已經(jīng)加密的密碼,檢驗其hash字串是否一致.
password_needs_rehash() – 給密碼重新加密.
password_get_info() – 返回加密算法的名稱和一些相關(guān)信息.
雖然說crypt()函數(shù)在使用上已足夠,但是password_hash()不僅可以使我們的代碼更加簡短,而且還在安全方面給了我們更好的保障,所以,現(xiàn)在PHP的官方都是推薦這種方式來加密用戶的密碼,很多流行的框架比如Laravel就是用的這種加密方式。
?php
$hash = password_hash($passwod, PASSWORD_DEFAULT);對,就是這么簡單,一行代碼,All done。
PASSWORD_DEFAULT目前使用的就是Bcrypt,所以在上面我會說推薦這個,不過因為Password Hashing API做得更好了,我必須鄭重地想你推薦Password Hashing API。這里需要注意的是,如果你代碼使用的都是PASSWORD_DEFAULT加密方式,那么在數(shù)據(jù)庫的表中,password字段就得設(shè)置超過60個字符長度,你也可以使用PASSWORD_BCRYPT,這個時候,加密后字串總是60個字符長度。
這里使用password_hash()你完全可以不提供鹽值(salt)和 消耗值 (cost),你可以將后者理解為一種性能的消耗值,cost越大,加密算法越復(fù)雜,消耗的內(nèi)存也就越大。當(dāng)然,如果你需要指定對應(yīng)的鹽值和消耗值,你可以這樣寫:
?php
$options = [
'salt' = custom_function_for_salt(), //write your own code to generate a suitable salt'cost' = 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);密碼加密過后,我們需要對密碼進行驗證,以此來判斷用戶輸入的密碼是否正確:
?php
if (password_verify($password, $hash)) {
// Pass
}
else {
// Invalid
}
很簡單的吧,直接使用password_verify就可以對我們之前加密過的字符串(存在數(shù)據(jù)庫中)進行驗證了。
然而,如果有時候我們需要更改我們的加密方式,如某一天我們突然想更換一下鹽值或者提高一下消耗值,我們這時候就要使用到password_needs_rehash()函數(shù)了:
?php
if (password_needs_rehash($hash, PASSWORD_DEFAULT, ['cost' = 12])) {// cost change to 12
$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' = 12]);// don't forget to store the new hash!
}
只有這樣,PHP的Password Hashing API才會知道我們重現(xiàn)更換了加密方式,這樣的主要目的就是為了后面的密碼驗證。
簡單地說一下password_get_info(),這個函數(shù)一般可以看到下面三個信息:
algo – 算法實例
algoName – 算法名字
options – 加密時候的可選參數(shù)
所以,現(xiàn)在就開始用PHP 5.5吧,別再糾結(jié)低版本了。
Happy Hacking
題主你可以使用 md5 或者 sha1 進行初步處理,但為了更加安全,請你同時加上兩個 salt,一個靜態(tài) salt,一個動態(tài)的 salt。以 md5 為例:
假設(shè)通過 POST 傳來的密碼為 $_POST['password'],在存入 DB 前先進行如下的操作:
$password = hash('md5', $_POST['password'].$staticSalt.$dynamicSalt);
為了保證動態(tài) salt 的唯一性,可以這樣操作:
$dynamicSalt = hash('md5', microtime());
對于動態(tài)的 salt 可以與生成的密碼一起保存在 DB 中,而靜態(tài) salt 則可以直接放在類文件中(例如定義為一個靜態(tài)屬性即可)。
首先謝謝題主采納了我的答案,但是我之前的回答并不是最佳答案,之所以有此加密的想法源于自己所讀的源碼可能比較老,所以并沒使用上較新版本的加密方法,例如 bcrypt等。
此外,第二點,感謝評論中幾位前輩的提點,已經(jīng)明白設(shè)置靜態(tài) salt 的意義并不大,生成一個較長的動態(tài) salt 已然可以解決問題。
LZ應(yīng)該采用加鹽HASH。
如何“腌制”密碼呢?
=_,=
正確的格式應(yīng)該是,用戶password+動態(tài)的salt
動態(tài)的salt不能像2L所說的,使用microtime,因為時間在某些情況下不夠隨機,而且是可能被猜解的。
這里推薦一個我用的加鹽HASH
$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));
$password=sha1($register_password.$salt);
解釋:
首先使用mcrypt,產(chǎn)生電腦隨機生成的,專門用戶加密的隨機數(shù)函數(shù)。
第二步,把得到的隨機數(shù)通過base64加密,使其變長并且不利于猜解。
第三步,把得出的鹽拼接到密碼的后面,再對其使用sha1進行哈希
再把password存入到用戶的數(shù)據(jù)庫。
PS:為何不用靜態(tài)的salt?沒有必要,使用一個動態(tài)隨機足夠長的鹽足矣。
為何不用MD5?因為長度不夠。
為何沒有使用多次HASH?因為這樣反而容易發(fā)生碰撞。
HASH好之后怎么使用“腌制”好的密碼?
用戶注冊-提交密碼-產(chǎn)生salt-腌制好的密碼存入數(shù)據(jù)庫-salt存入數(shù)據(jù)庫。
用戶登錄-提交密碼-調(diào)用salt接到提交密碼的后面-進行HASH-調(diào)用之前注冊腌制好的密碼-對比HASH值是否和這個密碼相同
php將密碼存入數(shù)據(jù)庫,可以分內(nèi)常見的4種方式:
1、直接md5加密存到到數(shù)據(jù)庫
2、md5兩次存到數(shù)據(jù)庫
3、對需要加密的字符串和一個常量 進行混淆加密
4、生成一個隨機的變量存到數(shù)據(jù)庫中,然后對需要加密的字符串和這個隨機變量加密
?php$str="admin"; //需要加密的字符串$str2="php"; //增加一個常量混淆 $pass1=md5($str);$pass2=md5(md5($str));$pass3=md5($str.$str2);echo $pass1."br".$pass2."br".$pass3;?
輸出:
第四種
$str="admin"; //需要加密的字符串$encrypt=$row['encrypt']; // 生成的 隨機加密字符串 存到數(shù)據(jù)庫中$pass4=md5($str.$encrypt);// 8db2ec7e9636f124e56f7eb4d7b7cc7e
本文標(biāo)題:php數(shù)據(jù)庫密碼怎么加密 php數(shù)據(jù)庫加鎖
文章起源:http://muchs.cn/article8/doesjop.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供軟件開發(fā)、商城網(wǎng)站、網(wǎng)站維護、ChatGPT、服務(wù)器托管、企業(yè)建站
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)