使用PHP怎么實現(xiàn)散列密碼的安全性？針對這個問題，這篇文章詳細介紹了相對應的分析和解答，希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。

目前成都創(chuàng)新互聯(lián)已為成百上千的企業(yè)提供了網(wǎng)站建設、域名、網(wǎng)絡空間、網(wǎng)站改版維護、企業(yè)網(wǎng)站設計、烏魯木齊網(wǎng)站維護等服務，公司將堅持客戶導向、應用為本的策略，正道將秉承"和諧、參與、激情"的文化，與客戶和合作伙伴齊心協(xié)力一起成長，共同發(fā)展。

很多應用，都是將用戶的密碼都是直接通過md5加密直接存儲到數(shù)據(jù)庫中的，包括我最近在用的開源項目zabbix的web管理界面。

$password = "1234";
$hash = md5($password);
echo $res;

php常用的哈希函數(shù)有md5和sha1，這種哈希之后，一般是不可逆的，但是可以重現(xiàn)，也就是說同樣的明文，哈希之后的結(jié)果是一樣的，對于一些簡單的明文，是可以通過遍歷，然后對照加密之后的密文得到明文的。

網(wǎng)上有流傳的“彩虹表”，就是遍歷的到的一個非常大的數(shù)據(jù)庫，存儲了明文和密文的對照關系，通過查詢就能得到密文對應的明文。

/tupian/20230522/>$password = "1234"; $salt = "s@jn#.sK_jF3;gg*&"; $hash = md5($password.$salt); echo $res;

同樣的明文“1234”，加了一個比較復雜的“鹽”之后，再進行加密，解密的難度就增加了不少，在上面的解密網(wǎng)站是就不能被解密出來了（最起碼不付錢是解密不出來的，哈哈哈）。

上面我們對所有的密碼都使用的同樣的鹽，這中方式是不大安全的。比如，張三和李四的密碼是一樣的，則存儲在數(shù)據(jù)庫中的密文也是一樣的，這無疑讓黑客更容易破解了。

更常使用的方式，是對于不同的用戶使用不同的鹽進行加密，在用戶的注冊過程中，生成用戶對應的鹽，然后進行存儲；在用戶登錄時，取出鹽用于加密操作，鹽和用戶id一一對應。

可以使用php自帶的random_bytes生成一定長度的鹽

$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;

關于鹽的存儲

可以將鹽和密文一起存在數(shù)據(jù)庫的用戶信息表中，優(yōu)點是數(shù)據(jù)庫查詢?nèi)〕雒艽a的同時也可以取出鹽，進行加密比對操作，一次數(shù)據(jù)查詢就可以搞定，缺點是安全性差，如果黑客“脫褲”成功，則獲取密文的同時也獲取了對應的鹽。

更好的方案是將鹽和密文分開存儲，比如密文存儲在mysql數(shù)據(jù)庫中，鹽存儲在redis服務器中，這樣即使黑客“脫褲”拿到了數(shù)據(jù)庫中的密文，也需要再進一步拿到對應的鹽才能進一步破解，安全性更好，不過這樣需要進行二次查詢，即每次登陸都需要從redis中取出對應的鹽，犧牲了一定的性能，提高了安全性。

php5.5中更加安全的解決方案

說php是專為為web設計的語言一點也沒錯，應該是php開發(fā)者也注意到了這個密碼保存的問題。

于是php5.5開始，就設計了password_hashing模塊，用于密碼的哈希和驗證。

http://php.net/manual/zh/book.password.php

使用password_hash進行哈希，使用的算法、cost 和鹽值作為哈希的一部分返回，所以不用單獨保存salt的值，因為它每次都會自己生成salt，所以優(yōu)點就是“每次加密的結(jié)果都不一樣”，但是可以放心，加密結(jié)果包含了salt信息，password_verify可以正確解析。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);

哈希之后的結(jié)果，只能使用password_verify進行驗證，因此驗證密碼的功能只能由php語言來實現(xiàn)。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash);  //驗證結(jié)果為true

優(yōu)缺點分析

優(yōu)點是安全性很高，即使被脫褲，也很難將密文解密，因為同一個密文，每次加密的結(jié)果都不一樣，所以沒法撞庫！

password_hash實際上是對crypt和salt的封裝，crypt加密比普通的md5和sha1更加復雜，所以耗時也更加多一些，這可以算是一個缺點，對于用戶量很大，經(jīng)常需要進行登錄操作的站點，可能會有性能上的影響。還有一點是通用性不強，因為這種方式只適用于php語言，其他語言是沒有辦法對密文進行操作的。

剛才測試了一下password_hash的性能，嚇的半死。。

md5.php

<?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023*&*(&()#&*(Y*(@&*<:L:%:::>><??11!!^%^$%$%^<>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i<100;$i++){
  $res = md5($password);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

運行結(jié)果：

stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348

password_hash.php

<?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i<100;$i++){
  $res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

運行結(jié)果：

stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424

關于使用PHP怎么實現(xiàn)散列密碼的安全性問題的解答就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關注創(chuàng)新互聯(lián)行業(yè)資訊頻道了解更多相關知識。

分享名稱：使用PHP怎么實現(xiàn)散列密碼的安全性-創(chuàng)新互聯(lián)
轉(zhuǎn)載來于：http://m.rwnh.cn/article4/ddscoe.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)頁設計公司、品牌網(wǎng)站建設、網(wǎng)站維護、商城網(wǎng)站、手機網(wǎng)站建設、網(wǎng)站設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)