使用 phpass 庫來哈希和比較密碼
經(jīng) phpass 0.3 測試,在存入數(shù)據(jù)庫之前進行哈希保護用戶密碼的標(biāo)準(zhǔn)方式。 許多常用的哈希算法如 md5,甚至是 sha1 對于密碼存儲都是不安全的, 因為駭客能夠使用那些算法輕而易舉地破解密碼。
對密碼進行哈希最安全的方法是使用 bcrypt 算法。開源的 phpass 庫以一個易于使用的類來提供該功能。
示例
<?php
// Include phpass 庫
require_once('phpass-03/PasswordHash.php')
// 初始化散列器為不可移植(這樣更安全)
$hasher = new PasswordHash(8, false);
// 計算密碼的哈希值。$hashedPassword 是一個長度為 60 個字符的字符串.
$hashedPassword = $hasher->HashPassword('my super cool password');
// 你現(xiàn)在可以安全地將 $hashedPassword 保存到數(shù)據(jù)庫中!
// 通過比較用戶輸入內(nèi)容(產(chǎn)生的哈希值)和我們之前計算出的哈希值,來判斷用戶是否輸入了正確的密碼
$hasher->CheckPassword('the wrong password', $hashedPassword); // false
$hasher->CheckPassword('my super cool password', $hashedPassword); // true
?>
許多資源可能推薦你在哈希之前對你的密碼“加鹽”。想法很好,但 phpass 在 HashPassword() 函數(shù)中已經(jīng)對你的密碼“加鹽”了,這意味著你不需要自己“加鹽”。
進一步閱讀