PHPパスワードのハッシュ

の詳細(xì)な説明とベストプラクティス

プログラミング言語(yǔ)では、パスワードをハッシュする方法を理解することが重要です。この記事では、PHPでパスワードハッシュを?qū)g裝する方法をすばやく説明し、その重要性を説明します。

すべてのPHPプログラマーは、ユーザーログインに依存するアプリケーションを作成して、ある段階で適切に実行します。通常、ユーザー名とパスワードはデータベースに保存され、認(rèn)証に使用されます。私たち全員が知っているように、パスワードはプレーンテキストのデータベースに決して保存する必要はありません。データベースが損なわれている場(chǎng)合、すべてのパスワードは悪意のある攻撃者によって悪用されます。これが、パスワードをハッシュする方法を?qū)Wぶ必要がある理由です。

「暗號(hào)化」の代わりに「ハッシュ」という単語(yǔ)を使用していることに注意してください。これは、ハッシュと暗號(hào)化が完全に異なる2つのプロセスであり、しばしば混亂するためです。

hash

ハッシュ関數(shù)は文字列（myPassword123など）を取り、ハッシュ値と呼ばれる暗號(hào)化されたバージョンの文字列に変換します。たとえば、MyPassWord123のハッシュは、9C87BAA223F464954940F859BCF2E233などの一見(jiàn)亂數(shù)と文字列である可能性があります。ハッシュは一方向関數(shù)です。何かができたら、固定された長(zhǎng)さの文字列を取得します。これは、逆にするのが難しいプロセスです。

2つのハッシュ値を比較して、両方が同じ元の文字列から來(lái)ているかどうかを確認(rèn)できます。この記事の後半では、PHPを使用してこのプロセスを?qū)g裝する方法を確認(rèn)します。

encryption

ハッシュと同様に、暗號(hào)化は入力文字列を取り、一見(jiàn)亂數(shù)とアルファベットの文字列に変換します。ただし、暗號(hào)化は、暗號(hào)化キーを知っている場(chǎng)合、可逆プロセスです。これは可逆プロセスであるため、パスワードには適していませんが、ポイントツーポイントセキュアなメッセージングなどの側(cè)面に最適です。

ハッシュの代わりにパスワードを暗號(hào)化し、使用しているデータベースに悪意のあるサードパーティが何らかの方法でアクセスすると、すべてのユーザーアカウントが脅かされます。これは明らかに良いシナリオではありません。

塩を追加

ハッシュする前にパスワードも「塩漬け」する必要があります。 「塩」は、ハッシュする前にパスワードにランダムな文字列を追加する操作です。

パスワードに塩を追加することにより、辭書(shū)攻撃を防ぐことができます（攻撃者はパスワードとして辭書(shū)の各単語(yǔ)を體系的に入力します）、レインボーテーブル攻撃（攻撃者は一般的なパスワードハッシュのリストを使用します）。

塩を追加することに加えて、ハッシュ時(shí)に比較的安全なアルゴリズムも使用する必要があります。これは、まだ割れていないアルゴリズムであり、できれば一般的なアルゴリズム（SHA512など）ではなく特殊なアルゴリズムであることを意味します。

2023年の時(shí)點(diǎn)で、推奨されるハッシュアルゴリズムは

です

• argon2
• scrypt
• bcrypt
• pbkdf2

php

でのハッシュ処理 PHP 5.5に

関數(shù)が導(dǎo)入されて以來(lái)、PHPでのハッシュ処理は非常に簡(jiǎn)単になっています。 password_hash()

現(xiàn)在、デフォルトでBCRyptを使用し、Argon2などの他のハッシュアルゴリズムをサポートしています。また、password_hash()関數(shù)は、パスワードに塩を自動(dòng)的に追加します。

終了、ハッシュされたパスワードを返します。 「コスト」と「塩」はハッシュの一部として返されます。

簡(jiǎn)単に言えば、パスワードのコストは、ハッシュを生成するために必要な計(jì)算量を指します。ハッシュを作成する「難易度」を測(cè)定するようなものです。コストが高いほど、難易度が高くなります。

ケーキを作りたいと想像してみてください。そのケーキのレシピには「卵を5分間倒す」と書(shū)かれています。それがそのケーキを作る「コスト」です。ケーキをより「安全」にしたい場(chǎng)合は、レシピを変更して「卵を10分間倒す」ことができます。ケーキを作るのに時(shí)間がかかります。これは、ケーキを作る「コスト」を追加するようなものです。

ドキュメントで読むように：password_hash()

…ハッシュを確認(rèn)するために必要なすべての情報(bào)が含まれています。これにより、

関數(shù)は、塩またはアルゴリズム情報(bào)を個(gè)別に保存する必要なく、ハッシュを検証できます。 password_verify()

これにより、ハッシュ値を確認(rèn)するために他の情報(bào)をデータベースに保存する必要がないことが保証されます。

実際には、次のように見(jiàn)えます：

<?php
$password = "sitepoint";

$hashed_password = password_hash($password, PASSWORD_DEFAULT);

if (password_verify($password, $hashed_password)) {
    //如果輸入的密碼與哈希密碼匹配，則登錄成功
} else {
    //重定向到主頁(yè)
}

関數(shù)の詳細(xì)については、こちらをご覧ください。

関數(shù)の情報(bào)については、こちらをご覧ください。 password_hash() password_verify()結(jié)論

PHPプログラマーの場(chǎng)合、ハッシュと暗號(hào)化の違いを理解し、ハッシュを使用してパスワードを保存してユーザーアカウントを攻撃から保護(hù)することが重要です。 PHP 5.5で導(dǎo)入された

関數(shù)により、プログラマーはArgon2やBcryptを含むさまざまなアルゴリズムを使用してパスワードを安全に使用できます。

トム?バトラーがPHP＆mysqlで言ったように：忍者への初心者：password_hash()

幸いなことに、PHPには非常に安全なパスワードハッシュメソッドが含まれています。これらの側(cè)面をあなたや私よりもよく知っている人々によって作成され、発生する可能性のあるセキュリティの問(wèn)題を完全に理解する必要がある私たちのような開(kāi)発者を避けています。したがって、獨(dú)自のPHPアルゴリズムを使用してパスワードをハッシュすることを強(qiáng)くお?jiǎng)幛幛筏蓼埂?

これを念頭に置いて、最新の推奨ハッシュアルゴリズムを最新の狀態(tài)に保ち、アプリケーションの最良のセキュリティを確保してください。

PHPパスワードハッシュ

に関するよくある質(zhì)問(wèn)

パスワードのハッシュとは何ですか？なぜPHPで重要なのですか？パスワードハッシュは、平文パスワードを固定長(zhǎng)の不可逆的な文字列に変換するプロセスです。 PHPでは、ユーザーパスワードをハッシュフォームに保存することでユーザーのパスワードを保護(hù)できるため、攻撃者が元のパスワードを取得することが難しくなります。

PHPでパスワードをハッシュするには、どのハッシュアルゴリズムを使用する必要がありますか？ PHPは

および>関數(shù)を提供し、BCRYPTアルゴリズムはデフォルトで使用されます。 Bcryptは、安全なパスワードハッシュオプションであるため、推奨されます。

PHPでパスワードをハッシュする方法は？ password_hash()関數(shù)を使用してパスワードをハッシュできます。たとえば、password_hash($password, PASSWORD_BCRYPT)。

PHPでハッシュパスワードを確認(rèn)する方法は？ハッシュパスワードを検証するには、password_verify()関數(shù)を使用します。指定されたパスワードがデータベースに保存されているハッシュバージョンと一致するかどうかを確認(rèn)します。

PHPでハッシュするとき、パスワードに塩を追加する必要がありますか？はい、ハッシュする前に各パスワードに一意の塩を使用することをお?jiǎng)幛幛筏蓼埂?password_hash()関數(shù)は自動(dòng)的に塩を生成するため、手動(dòng)で管理する必要はありません。

以上がクイックヒント：PHPでパスワードをハッシュする方法の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。