本文摘譯整理自PHP最佳編程實踐——PHP如何存儲密碼更安全?
使用 phpass 庫來做密碼哈希和密碼比較
- 經 phpass 0.3 測試,在存入數據庫之前進行哈希保護用戶密碼的標準方式。
- 許多常用的哈希算法如 md5,甚至是 sha1 對於密碼存儲都是不安全的, 因為黑客能夠使用那些算法輕而易舉地破解密碼。
- 對密碼進行哈希最安全的方法是使用 bcrypt 算法。
- 開源的 phpass 庫以一個易於使用的類來提供該功能。
示例
<?php
// Include phpass 庫
require_once('phpass-03/PasswordHash.php')
// 初始化散列器為不可移植(這樣更安全)
$hasher = new PasswordHash(8, false);
// 計算密碼的哈希值。$hashedPassword 是一個長度為 60 個字符的字符串.
$hashedPassword = $hasher->HashPassword('my super cool password');
// 你現在可以安全地將 $hashedPassword 保存到數據庫中!
// 通過比較用戶輸入內容(產生的哈希值)和我們之前計算出的哈希值,來判斷用戶是否輸入了正確的密碼
$hasher->CheckPassword('the wrong password', $hashedPassword); // false
$hasher->CheckPassword('my super cool password', $hashedPassword); // true
?>可能踩的坑
- 許多資源可能推薦你在哈希之前對你的密碼“加鹽”。想法很好,但 phpass 在 HashPassword() 函數中已經對你的密碼“加鹽”了,這意味著你不需要自己“加鹽”。
PHPPASS相關資料