php对用户密码进行加密技巧实例

 更新时间:2023年12月18日 14:07:10   作者:enjolras1205  
这篇文章主要为大家介绍了php对用户密码进行加密技巧实例,有需要的朋友可以借鉴参考下,希望能够有所帮助,祝大家多多进步,早日升职加薪

摘要

密码验证是很常见的需求,如何在实现功能之余,防止用户密码泄露,已经有了很成熟的方案。这篇文章把自己的思考和结论做一下记录。

对用户密码进行加密时需要做到:

防止用户密码明文被窃听

1.交给https,明文传输。

2.客户端将密码加盐(盐随机生成、具有强度)并哈希。服务端再次加盐哈希并对比。假设https被窃听,攻击者破解密码明文也具有相当难度。

防止数据库被攻破时,用户密码明文被窃取。

1.增加哈希算法强度。

2.随机生成具有强度的盐。

一些思考

哈希算法是不可逆的。攻击者可以生成海量的密码 -> 哈希值键值对,反向映射,有概率通过哈希值得到密码。
故,破解的成本=哈希算法强度×盐值数量。

如何选择哈希算法强度

  • 计算耗时用户可接受(视应用场景,如0.2S内)。
  • 计算耗时尽量长,即增加哈希算法强度。

为什么盐要随机

如果盐不随机,攻击者可以针对单个盐生成哈希值->密码键值对,再对整个数据库的哈希值做匹配。
假设盐是保密的,盐可能因为各种原因被攻击者获取(代码泄漏、社会工程学等等)。
攻击者也可以通过在数据库被攻破的网站上注册用户,通过 哈希值->攻击者密码+盐 来破解盐。

为什么盐要有强度

如果盐的强度(长度)不够。攻击者可以建立多个 哈希值->密码 数据库,简单盐被匹配(攻破)的概率更高。

为什么盐可以明文存储

攻击者很难有足够的计算资源和存储空间建立海量的 哈希值->密码 数据库,针对单条用户记录,建立 哈希值->密码 数据库进行攻击的成本过高。

php的实现

最初的想法

需求是房间密码,出于简单考虑,我最初的想法是,MD5+随机盐。
在数据库里大致是这样:

+-------+-------------+------+-----+---------+-------+
| Field | Type        | Null | Key | Default | Extra |
+-------+-------------+------+-----+---------+-------+
| uid  | int(11)    | NO  | PRI | NULL    |      |
| pwd  | varchar(45) | YES  |    | NULL    |      |
| salt  | varchar(45) | YES  |    | NULL    |      |
+-------+-------------+------+-----+---------+-------+

php的推荐实现

php的md5文档

http://php.net/manual/zh/func...

给了一个很好的指引:
 

http://php.net/manual/zh/faq....

password_hash 和 crypt 函数返回值的组成部分,依次为:所选择的算法,算法选项,所使用的“盐”,以及散列后的密码。
更改后、数据库表变为:

+-------+-------------+------+-----+---------+-------+
| Field | Type        | Null | Key | Default | Extra |
+-------+-------------+------+-----+---------+-------+
| uid  | int(11)    | NO  | PRI | NULL    |      |
| pwd  | varchar(255) | YES  |    | NULL    |      |
+-------+-------------+------+-----+---------+-------+

相较之前的方案:
1.记录了采用的算法(可以在不改动代码的情况下升级算法)
2.记录了采用算法的cost(强度),可以在硬件计算能力上升的情况下,调整cost来维持安全性。
3.盐和哈希值一并返回,简化了接口调用、数据库存储。
php的验证接口设计得相当漂亮。
使用简单,强制调用者使用随机的salt(不容易误用),可在不修改代码的情况下拓展算法强度。
代码:

if (!empty($xxxx_info['pwd'])) {    // 若原来有密码,则要检测
    if (!password_verify($old_pwd, $xxxx_info['pwd'])) {
        // 用户名或密码错
        return;
    }
}
// 对密码长度、内容等不做限制。
// 以应用场景来说,123456之类也无所谓。
$pwd_in_db = password_hash($new_pwd, PASSWORD_DEFAULT, array("cost" => 6));

参考 

https://www.php.net/manual/zh/faq.passwords.php#faq.passwords.fasthash

https://www.jb51.net/article/116492.htm

以上就是php对用户密码进行加密技巧实例的详细内容,更多关于php用户密码加密的资料请关注脚本之家其它相关文章!

相关文章

  • PHP curl伪造IP地址和header信息代码实例

    PHP curl伪造IP地址和header信息代码实例

    这篇文章主要介绍了PHP curl伪造IP地址和header信息代码实例,本文给出服务器端和客户端实现代码,提供伪造功能和服务器端检测代码,需要的朋友可以参考下
    2015-04-04
  • ThinkPHP之foreach标签使用概述

    ThinkPHP之foreach标签使用概述

    这篇文章主要介绍了ThinkPHP之foreach标签的使用,需要的朋友可以参考下
    2014-06-06
  • 详解PHP中strlen和mb_strlen函数的区别

    详解PHP中strlen和mb_strlen函数的区别

    在PHP中,strlen与mb_strlen是求字符串长度的函数,但是对于一些初学者来说,如果不看手册,也许不太清楚其中的区别
    2014-03-03
  • php实现文件下载功能的几个代码分享

    php实现文件下载功能的几个代码分享

    我们一般实现下载都是调用url来下载,但是遇到ie能识别打开的文件就不能用这种方式了,比如下载一个图片、html网页等,这时就需要编程来实现
    2014-05-05
  • Laravel 实现关系模型取出需要的字段

    Laravel 实现关系模型取出需要的字段

    今天小编就为大家分享一篇Laravel 实现关系模型取出需要的字段,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2019-10-10
  • PHP之使用swoole统计在线人数和ID案例讲解

    PHP之使用swoole统计在线人数和ID案例讲解

    这篇文章主要介绍了PHP之使用swoole统计在线人数和ID案例讲解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
    2021-08-08
  • 学习php中的正则表达式

    学习php中的正则表达式

    简单的说,正则表达式是一种可以用于模式匹配和替换的强有力的工具。我们可以在几乎所有的基于UNIX系统的工具中找到ta的身影。此外,象JavaScript这种客户端的脚本语言也提供了支持。正则表达式已经超出了某种语言或某个系统的局限,成为人们广为接受的概念和功能。
    2014-08-08
  • 实现laravel 插入操作日志到数据库的方法

    实现laravel 插入操作日志到数据库的方法

    今天小编就为大家分享一篇实现laravel 插入操作日志到数据库的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
    2019-10-10
  • php7函数,声明,返回值等新特性介绍

    php7函数,声明,返回值等新特性介绍

    这篇文章主要介绍了php7函数,声明,返回值等新特性,非常不错,具有一定的参考借鉴价值,需要的朋友可以参考下
    2018-05-05
  • Laravel 4.2 中队列服务(queue)使用感受

    Laravel 4.2 中队列服务(queue)使用感受

    Laravel的队列组件为许多队列服务提供了统一的API接口。队列服务让你可以异步处理一个耗时任务,比如延迟发送一封邮件,从而大大加快了应用的Web请求处理速度。
    2014-10-10

最新评论