Kernpunkte

• PHP 5.5 Kennwort-Hash-API vereinfacht das Kennworthashing mit vier Funktionen: password_hash() für Hashing-Passw?rter, password_verify() für die überprüfung von Passw?rtern mit ihren Hash-Werten, password_needs_rehash() für die überprüfung, ob Passw?rter erneut wiedergegeben werden müssen, password_get_info() Wird verwendet, um den Namen des Hash -Algorithmus und verschiedene Optionen im Hashing -Prozess zurückzugeben.
• Diese API verwendet standardm??ig den Bcrypt -Algorithmus und behandelt automatisch die Erzeugung von Salzwerten, ohne dass Entwickler sie bereitstellen müssen. Entwickler k?nnen jedoch weiterhin ihre eigenen Salz- oder Kostenwerte bereitstellen, indem sie einen dritten Parameter an die password_hash() -Funktion übergeben.
• Diese API wird als sehr sicher angesehen, wird jedoch empfohlen, sie als Teil einer umfassenden Sicherheitsrichtlinie zu verwenden. Entwickler, die PHP 5.3.7 oder h?her verwenden, k?nnen eine Bibliothek namens password_compat verwenden, die die API emuliert und sich automatisch selbst deaktiviert, nachdem die PHP -Version auf 5.5 aktualisiert wurde.

Die Verwendung von BCrypt wird derzeit als das beste Passwort -Hashing -Praxis anerkannt, aber viele Entwickler verwenden immer noch ?ltere und schw?chere Algorithmen wie MD5 und SHA1. Einige Entwickler verwenden beim Hashing nicht einmal Salz. Die neue Hash -API in PHP 5.5 soll Bcrypt aufmerksam machen und gleichzeitig ihre Komplexit?t verstecken. In diesem Artikel werde ich die Grundlagen der Verwendung der PHP New Hash API behandeln. Die neue Passwort -Hash -API enth?lt vier einfache Funktionen:

• password_hash() - Wird verwendet, um das Passwort zu haben.
• password_verify() - Wird verwendet, um Passw?rter basierend auf ihrem Hash -Wert zu überprüfen.
• password_needs_rehash() - Wird beim Wiederaufnehmen des Passworts verwendet.
• password_get_info() - Gibt den Namen des Hashing -Algorithmus und die verschiedenen Optionen zurück, die im Hashing -Prozess verwendet werden.

password_hash()

Obwohl die crypt() -Funktion sicher ist, denken viele Menschen, dass sie zu komplex und fehleranf?llig ist. Dann verwenden einige Entwickler schwache Salz und schwache Algorithmen, um Hashes zu erzeugen, wie:

<?php $hash = md5($password . $salt); // 可行，但危險

Die password_hash() -Funktion vereinfacht jedoch unsere Arbeit und unser Code kann sicher gehalten werden. Wenn Sie ein Hash -Passwort ben?tigen, geben Sie es einfach der Funktion an, und es gibt einen Hash -Wert zurück, der in der Datenbank gespeichert werden kann.

<?php $hash = md5($password . $salt); // 可行，但危險

Das ist es! Der erste Parameter ist die Kennwortzeichenfolge, und der zweite Parameter gibt den Algorithmus an, der zum Generieren des Hash angewendet wird. Der aktuelle Standardalgorithmus ist Bcrypt, aber manchmal kann es in Zukunft einen leistungsst?rkeren Algorithmus als Standardalgorithmus hinzufügen und gr??ere Zeichenfolgen erzeugen. Wenn Sie in Ihrem Projekt PASSWORD_DEFAULT verwenden, speichern Sie den Hash in einer Spalte mit einer Kapazit?t von mehr als 60 Zeichen. Das Einstellen der Spaltengr??e auf 255 kann eine gute Wahl sein. Sie k?nnen auch PASSWORD_BCRYPT als zweiter Parameter verwenden. In diesem Fall ist das Ergebnis immer 60 Zeichen lang. Hier ist wichtig, dass Sie keine Salzwert- oder Kostenparameter bereitstellen müssen. Die neue API wird all dies für Sie übernehmen. Salz ist Teil des Hashs, also müssen Sie es nicht separat aufbewahren. Wenn Sie Ihr eigenes Salz (oder Kosten) bereitstellen m?chten, k?nnen Sie dies tun, indem Sie einen dritten Parameter (ein Optionsarray) an die Funktion übergeben.

<?php $hash = password_hash($password, PASSWORD_DEFAULT);

Auf diese Weise k?nnen Sie immer die neuesten Sicherheitsma?nahmen anwenden. Wenn PHP sp?ter beschlie?t, einen leistungsst?rkeren Hashing -Algorithmus zu implementieren, kann Ihr Code ihn nutzen.

password_verify()

Jetzt, da Sie gelernt haben, wie man mit der neuen API Hashes generiert, sehen wir sehen, wie Sie Ihr Passwort überprüfen. Denken Sie daran, dass Sie den Hash in der Datenbank speichern, aber Sie erhalten ein einfaches Textkennwort, wenn sich der Benutzer anmeldet. Die password_verify() -Funktion nimmt ein einfaches Textkennwort und eine Hash -Zeichenfolge als ihre beiden Parameter. Gibt true zurück, wenn der Hash mit dem angegebenen Passwort übereinstimmt.

<?php $options = [
    'salt' => custom_function_for_salt(), //編寫您自己的代碼以生成合適的鹽
    'cost' => 12 // 默認(rèn)成本為 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

Denken Sie daran, dass Salz Teil des Hash -Passworts ist, weshalb wir es hier nicht getrennt angeben.

password_needs_rehash()

Was soll ich tun, wenn ich die Salz- und Kostenparameter der Hash -Zeichenfolge ?ndern muss? Dies ist ein Problem, da Sie m?glicherweise entscheiden, die Sicherheit zu verbessern, indem Sie st?rkere Salz- oder gr??ere Kostenparameter hinzufügen. Darüber hinaus kann PHP die Standardimplementierung des Hashing -Algorithmus ?ndern. In all diesen F?llen m?chten Sie das vorhandene Passwort neu aufbauen. password_needs_rehash()

hilft zu überprüfen, ob ein bestimmter Hash einen bestimmten Algorithmus implementiert und beim Erstellen bestimmte Optionen (z. B. Kosten und Salz) verwendet.

<?php if (password_verify($password, $hash)) {
    // 成功！
} else {
    // 無效的憑據(jù)
}

Denken Sie daran, dass Sie dies tun müssen, wenn ein Benutzer versucht, sich auf Ihrer Website anzumelden, dies nur der Zeitpunkt ist, in dem Sie auf Ihr Klartextkennwort zugreifen k?nnen.

password_get_info()

password_get_info() akzeptiert einen Hash und gibt ein assoziatives Array mit drei Elementen zurück:

• algo - eine Konstante, die einen bestimmten Algorithmus identifiziert
• algoName - Der Name des verwendeten Algorithmus
• options - Verschiedene Optionen, die beim Generieren von Hash
verwendet werden

Schlussfolgerung

Die neue Kennwort -Hash -API ist einfacher zu verwenden als die Funktion crypt(). Wenn Ihre Website derzeit auf PHP 5.5 ausgeführt wird, empfehle ich dringend, die neue Hash -API zu verwenden. Diejenigen, die PHP 5.3.7 (oder sp?ter) verwenden, k?nnen eine Bibliothek namens password_compat verwenden, die die API emuliert und sich automatisch selbst deaktiviert, nachdem die PHP -Version auf 5.5 aktualisiert wurde.

PHP 5.5 Kennwort Hash API FAQ (FAQ)

Was ist die PHP 5.5 -Passwort -Hash -API und warum ist sie wichtig?

PHP 5.5 Kennwort -Hash -API ist eine Funktion in PHP 5.5 und sp?ter die Entwickler eine einfache M?glichkeit, Hash und Passw?rter auf sichere Weise zu überprüfen. Es ist wichtig, weil es hilft, sensible Benutzerdaten zu schützen. Wenn die Datenbank gehackt wird, sind Hash -Kennw?rter schwerer zu knacken als Klartextkennw?rter. Die API verwendet standardm??ig die leistungsstarke Hash -Funktion BCrypt und behandelt automatisch die Erzeugung von Salzwerten, wodurch es den Entwicklern die Implementierung der sicheren Kennwortverarbeitung erleichtert.

password_hash Wie funktioniert die Funktion?

password_hash ist Teil der PHP 5.5 -Passwort -Hash -API. Es empf?ngt ein einfaches Textkennwort und einen Hash -Algorithmus als Eingabe und gibt ein Hash -Passwort zurück. Die Funktion generiert automatisch und wendet vor dem Hashing einen zuf?lligen Salzwert auf das Passwort an. Dieser Salzwert ist im zurückgegebenen Hash enthalten, sodass es nicht erforderlich ist, ihn separat zu speichern.

password_verify Was ist der Zweck der Funktion?

password_verify Funktion wird verwendet, um Kennw?rter basierend auf Hash -Passw?rtern zu überprüfen. Es empf?ngt ein einfaches Textkennwort und ein Hash -Passwort als Eingabe. Diese Funktion extrahiert Salzwerte und Hashing -Algorithmen aus dem Hashed -Kennwort, wendet sie auf das Klartextkennwort an und vergleicht dann die Ergebnisse mit dem ursprünglichen Hashed -Kennwort. Wenn es übereinstimmt, gibt die Funktion true zurück und gibt an, dass das Kennwort korrekt ist.

Wie ist die Sicherheit der PHP 5.5 -Passwort -Hash -API?

PHP 5.5 Kennwort -Hash -API wird als sehr sicher angesehen. Es verwendet standardm??ig den Bcrypt -Hashing -Algorithmus, was eine leistungsstarke Hashing -Funktion ist. Die API generiert automatisch einen zuf?lligen Salzwert für jedes Passwort, wodurch Regenbogentabellenangriffe verhindern. Wie bei allen Sicherheitsma?nahmen ist es jedoch nicht narrensicher und sollte als Teil einer umfassenden Sicherheitsrichtlinie verwendet werden.

Kann ich in der Funktion password_hash benutzerdefiniertes Salz verwenden?

Ja, Sie k?nnen in der Funktion password_hash benutzerdefiniertes Salz verwenden, dies wird jedoch nicht empfohlen. Diese Funktion generiert automatisch einen zuf?lligen Salzwert für jedes Kennwort, was normalerweise sicherer als benutzerdefiniertes Salz ist. Wenn Sie ein benutzerdefiniertes Salz verwenden, sollte es eine zuf?llige Zeichenfolge von mindestens 22 Zeichen sein.

password_hash Was sind die Kostenparameter in der Funktion?

password_hash Die Kostenparameter in der Funktion bestimmen die Rechenkosten des Hash. H?here Kosten machen Hash sicherer, aber auch langsamere Berechnungen. Die Standardkosten betragen 10, was für die meisten Anwendungen ein gutes Gleichgewicht zwischen Sicherheit und Leistung ist.

Wie kann ich überprüfen, ob das Hash -Passwort neu aufgewaschen werden muss?

Sie k?nnen die Funktion password_needs_rehash verwenden, um zu prüfen, ob das Hash -Kennwort neu aufgehoben werden muss. Diese Funktion empf?ngt Hash -Passwort, Hash -Algorithmus und optionale Kosten als Eingabe. Wenn das Hash -Passwort mit einem anderen Algorithmus oder einer anderen Kosten erstellt wird, gibt es True zurück, was darauf hinweist, dass es wieder aufgewendet werden sollte.

Kann ich die PHP 5.5 -Passwort -Hash -API mit ?lteren Versionen von PHP verwenden?

PHP 5.5 Kennwort -Hash -API ist nur in PHP 5.5 und sp?ter verfügbar. Es gibt jedoch eine Kompatibilit?tsbibliothek, die die gleiche Funktionalit?t für PHP 5.3.7 und h?her bietet.

Was passiert, wenn ich das Kennwort mit dem konstanten Hashing PASSWORD_DEFAULT habe und dann der Standardalgorithmus in zukünftigen Versionen von PHP ?ndert?

Wenn Sie das Kennwort mithilfe der PASSWORD_DEFAULT -Konstante und dann des Standardalgorithmus in zukünftigen Versionen von PHP -?nderungen haben, funktioniert die Funktion password_hash wie erwartet weiter. Das Hashed -Kennwort enth?lt Informationen zum verwendeten Algorithmus, sodass die password_verify -Funktion das Kennwort weiterhin korrekt überprüfen kann.

Kann ich die PHP 5.5-Passwort-Hash-API mit Nicht-ASCII-Passw?rtern verwenden?

Ja, Sie k?nnen die PHP 5.5-Passwort-Hash-API mit Nicht-ASCII-Passw?rtern verwenden. Die Funktionen password_hash und password_verify verwenden Bin?rdaten, sodass sie Passw?rter für jeden Zeichen verarbeiten k?nnen. Sie sollten jedoch beachten, dass verschiedene Systeme m?glicherweise nicht-ASCII-Zeichen unterschiedlich umgehen. Daher ist es eine gute Idee, sie zu normalisieren, bevor Sie das Passwort haben.

Das obige ist der detaillierte Inhalt vonHashing -Passw?rter mit der PHP 5.5 -Passwort -Hashing -API. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!