本文详解如何在 php 中安全地校验密码,确保其不包含用户名、真实姓名、姓名首字母缩写或用户名首/尾字符,避免常见弱密码风险。
本文详解如何在 php 中安全地校验密码,确保其不包含用户名、真实姓名、姓名首字母缩写或用户名首/尾字符,避免常见弱密码风险。
在用户注册或修改密码场景中,仅校验长度、大小写字母、数字和特殊字符是远远不够的。若密码直接包含用户名(如 alice123)、真实姓名(如 zhangsan)、姓名缩写(如 zjs)或用户名片段(如 test@123 中的 test),极易被暴力破解或社工攻击。关键在于:校验方向必须是“密码是否为用户名/姓名的子串”,而非相反——这是原代码逻辑错误的根本原因。
✅ 正确逻辑:以密码为搜索目标,检查其是否出现在用户名或姓名中
原代码使用 strpos($password, $name),意图为“在密码中查找姓名”,但实际应判断“密码字符串是否完整地出现在姓名或用户名中”(即密码是否是姓名/用户名的子串)。例如:
- $name = "katlina john smith",密码 "john" 是其中的子串 → 应拒绝;
- $uname = "testinguser",密码 "test" 出现在开头 → 应拒绝;
- 密码 "kjs" 是姓名 katlina john smith 的首字母组合(k-j-s),需额外提取并校验。
以下是健壮、可复用的校验函数:
<?php
function isValidPassword($password, $username, $fullName) {
// 1. 基础空值与长度校验(建议前置)
if (empty($password) || strlen($password) < 8) {
return false;
}
// 2. 转换为小写,统一进行不区分大小写的匹配
$passLower = strtolower($password);
$userLower = strtolower($username);
$nameLower = strtolower($fullName);
// 3. 检查密码是否为用户名或全名的子串(核心修复点)
if (strpos($userLower, $passLower) !== false || strpos($nameLower, $passLower) !== false) {
return false;
}
// 4. 提取并校验姓名首字母缩写(如 "katlina john smith" → "kjs")
$nameParts = array_filter(array_map('trim', explode(' ', $fullName)));
$initials = '';
foreach ($nameParts as $part) {
if (!empty($part)) {
$initials .= $part[0];
}
}
if (!empty($initials) && stripos($initials, $passLower) !== false) {
return false;
}
// 5. (可选)校验用户名首/尾字符组合,如 "tu"(testuser → t+u)
if (strlen($username) >= 2) {
$firstLast = $username[0] . $username[strlen($username)-1];
if (stripos($firstLast, $passLower) !== false) {
return false;
}
}
return true;
}
// 使用示例
$name = "katlina john smith";
$uname = "testinguser";
$passwords = ["john", "kjs@123", "testing@ps", "KJS", "abc123!"];
foreach ($passwords as $pwd) {
$result = isValidPassword($pwd, $uname, $name) ? '✅ 合法' : '❌ 违规';
echo "'{$pwd}' → {$result}\n";
}
?>⚠️ 关键注意事项
- 方向不可颠倒:strpos($haystack, $needle) 中,$needle(密码)必须是被查找项,$haystack(用户名/姓名)是被搜索文本。原代码 strpos($password, $name) 实际是在极短密码中搜长姓名,永远返回 false。
- 大小写敏感问题:务必使用 strtolower() 或 stripos(),避免因大小写差异导致绕过(如 "John" 不被 "katlina john smith" 匹配)。
- 首字母缩写需规范化:需分割姓名、过滤空格/空项,再拼接首字符;注意处理中间名、连字符名(如 "Mary-Jane")等边界情况,生产环境建议结合 IntlBreakIterator 或正则增强。
- 性能提示:该逻辑为 O(n) 时间复杂度,对单次密码校验无性能压力;但若需批量校验(如导入用户),建议预生成敏感词集合并使用哈希表快速查找。
-
安全增强建议:
- 集成 zxcvbn-php 进行熵值与模式识别;
- 禁止使用常见字典词、键盘序列(qwerty)、重复字符(aaaa);
- 强制密码变更时比对历史哈希,防止循环复用。
通过以上实现,您将构建出符合 OWASP 密码策略推荐、兼顾安全性与可用性的专业级密码校验机制。
立即学习“PHP免费学习笔记(深入)”;
