gpt4 book ai didi

php - PHP 的 password_hash() 行为

转载 作者:可可西里 更新时间:2023-11-01 01:03:54 25 4
gpt4 key购买 nike

我一直在寻找加密面板使用密码的最佳方法,我决定继续使用 BCRYPT,仅仅是因为每次加密的成本以及它通常被认为是最好的方法之一当前可用。

我正在使用双向盐,因此每个用户都有一个独特的盐,然后显然盐存储在我的应用程序中,我注意到一些相当奇怪的行为..根据 PHP 文档,这种行为是正常的吗?

无论如何,这是我使用的代码:

$Crypto = new Crypto;
echo $Crypto->encrypt( "123456789abcdefghijklm", "StackOverflow_Is_Awesome!" ); // First parameter being the "User Salt", second being the password.

// Above outputs $2y$13$123456789abcdefghijkleepFY8JLvsf2YbnWolqQyO3DIzrCeNIu

现在,Crypto 类:

<?php
// ASSUMING $this->hashingSalt = HBSNi3y7ruhbVGkhdg83ijdbvghiojkgudL;JP
class Crypto {

private $hashingSalt, $database;

public function __construct( $salt )
{
$this->hashingSalt = $salt;
$this->database = new DatabaseFunctions();
}

public function encrypt( $salt, $password )
{
$options = array(
'cost' => 13,
'salt' => $salt //22 chars
);

return password_hash( $password . $this->hashingSalt, PASSWORD_BCRYPT, $options);
}
}

所以,我的兴趣是,到底为什么这个函数只是简单地将选项中的盐集添加到输出字符串的开头?这真的令人费解......因为这并不是我所说的安全,而是让我失去了目标。

任何人都可以建议、尝试并解释我完全看过去的东西吗?谢谢

PHP 文档:http://php.net/manual/en/function.password-hash.php

最佳答案

盐的存在是为了防止使用哈希制作预先计算的表的可能性,一旦“坏人”得到哈希,它并不意味着保持安全。

还有你在做什么:

and then obviously the salt stored within my application

被称为胡椒(而且确实不是那么明显)并且据我所知,它还没有被证明更安全。有关详细信息,请阅读此博文(也是密码 API 的作者):http://blog.ircmaxell.com/2012/04/properly-salting-passwords-case-against.html

另请注意,您名为 encrypt 的方法并未加密任何内容。加密有两种方式。您所做的称为散列:https://stackoverflow.com/a/4948393/508666

关于php - PHP 的 password_hash() 行为,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15869348/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com