使用PHP的password_hash函数进行密码哈希和验证的方法-PHP中文网问答

讲师中心微信公众号

首页

文章

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端后端开发数据库移动端运维开发计算机基础

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机游戏

最近更新

使用PHP的password_hash函数进行密码哈希和验证的方法

P粉538462187 2023-08-21 18:37:28

[MySQL讨论组]

1150

最近我一直在尝试在我在互联网上找到的登录脚本上实现自己的安全性。在努力学习如何为每个用户生成盐的过程中，我偶然发现了password_hash。

据我所了解（根据这个页面上的阅读），在使用password_hash时，盐已经在行中生成。这是真的吗？

我还有一个问题，是否明智地使用两个盐？一个直接在文件中，一个在数据库中？这样，如果有人破解了数据库中的盐，你仍然有文件中的那个盐。我在这里读到过存储盐从来都不是一个明智的想法，但是我一直对人们所说的这个意思感到困惑。

P粉538462187

全部回复(1)

P粉3930309172023-08-22 17:48:16 1楼

是的，你理解得没错，函数password_hash()会自动生成一个盐，并将其包含在生成的哈希值中。将盐存储在数据库中是完全正确的，即使已知也能发挥作用。

// 为在数据库中存储的新密码生成哈希值。
// 该函数会自动生成一个密码学安全的盐。
$hashToStoreInDb = password_hash($_POST['password'], PASSWORD_DEFAULT);

// 检查输入的登录密码的哈希值是否与存储的哈希值匹配。
// 盐和成本因素将从$existingHashFromDb中提取。
$isPasswordCorrect = password_verify($_POST['password'], $existingHashFromDb);

你提到的第二个盐（存储在文件中的盐）实际上是一种“胡椒粉”或服务器端密钥。如果在哈希之前添加它（就像盐一样），那么你就添加了一种胡椒粉。不过，有一种更好的方法，你可以先计算哈希值，然后使用服务器端密钥加密（双向加密）哈希值。这样你就可以在必要时更改密钥。

与盐不同，这个密钥应该保密。人们经常混淆并试图隐藏盐，但最好让盐发挥作用，并使用密钥添加秘密。