如何使用PHP的password_hash函数对密码进行哈希和验证-PHP中文网问答

讲师中心微信公众号

首页

文章

后端开发 web前端数据库开发工具 php框架常见问题科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程自媒体新闻

专题

后端开发 web前端数据库开发工具 php框架科技 Java 系统教程电脑教程硬件教程手机教程软件教程游戏教程新闻

AI工具

AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令

学习

大前端后端开发数据库移动端运维开发计算机基础

编程手册

大前端后端开发数据库移动端运维开发计算机基础

下载

js特效网站源码工具下载类库下载网站素材学习资源插件扩展手机游戏

最近更新

如何使用PHP的password_hash函数对密码进行哈希和验证

P粉011684326 2023-08-17 20:41:00

[PHP讨论组]

1357

最近我一直在尝试在我在互联网上找到的一个登录脚本上实现自己的安全性。在努力学习如何为每个用户生成盐的脚本时，我偶然发现了password_hash。

根据我理解（基于这个页面上的阅读），当你使用password_hash时，盐已经在行中生成了。这是真的吗？

我还有一个问题，是否明智地使用两个盐？一个直接存在文件中，一个存在数据库中？这样，如果有人破坏了数据库中的盐，你仍然有文件中的一个盐。我在这里读到过，存储盐从来都不是一个明智的做法，但是人们说这个总是让我感到困惑。

P粉011684326

全部回复(1)

P粉8967510372023-08-18 17:37:32 1楼

是的，你理解得没错，函数password_hash()会自动生成一个盐，并将其包含在生成的哈希值中。将盐存储在数据库中是完全正确的，即使已知，它也能发挥作用。

// 为在数据库中存储的新密码生成哈希值。
// 该函数会自动生成一个密码学安全的盐。
$hashToStoreInDb = password_hash($_POST['password'], PASSWORD_DEFAULT);

// 检查输入的登录密码的哈希值是否与存储的哈希值匹配。
// 盐和成本因素将从$existingHashFromDb中提取。
$isPasswordCorrect = password_verify($_POST['password'], $existingHashFromDb);

你提到的第二个盐（存储在文件中的盐），实际上是一个辣椒或服务器端密钥。如果在哈希之前添加它（就像盐一样），那么你就添加了一个辣椒。不过有一种更好的方法，你可以先计算哈希值，然后使用服务器端密钥对哈希值进行加密（双向加密）。这样你就可以在必要时更改密钥。

与盐不同，这个密钥应该保密。人们经常混淆并试图隐藏盐，但最好让盐发挥作用，并使用密钥添加秘密。