小編給大家分享一下PHP中密碼加密機制Bcrypt怎么用，相信大部分人都還不怎么了解，因此分享這篇文章給大家參考一下，希望大家閱讀完這篇文章后大有收獲，下面讓我們一起去了解一下吧！

創(chuàng)新互聯(lián)主要從事網(wǎng)站制作、成都網(wǎng)站制作、網(wǎng)頁設(shè)計、企業(yè)做網(wǎng)站、公司建網(wǎng)站等業(yè)務(wù)。立足成都服務(wù)清水,十載網(wǎng)站建設(shè)經(jīng)驗,價格優(yōu)惠、服務(wù)專業(yè),歡迎來電咨詢建站服務(wù):028-86922220

前言

我們常常為了避免在服務(wù)器受到攻擊，數(shù)據(jù)庫被拖庫時，用戶的明文密碼不被泄露，一般會對密碼進行單向不可逆加密——哈希。

常見的方式是：

哈希方式	加密密碼
md5(‘123456')	e10adc3949ba59abbe56e057f20f883e
md5(‘123456' . ($salt = ‘salt'))	207acd61a3c1bd506d7e9a4535359f8a
sha1(‘123456')	40位密文
hash(‘sha256', ‘123456')	64位密文
hash(‘sha512', ‘123456')	128位密文

密文越長，在相同機器上，進行撞庫消耗的時間越長，相對越安全。

比較常見的哈希方式是 md5 + 鹽，避免用戶設(shè)置簡單密碼，被輕松破解。

password_hash

但是，現(xiàn)在要推薦的是password_hash() 函數(shù)，可以輕松對密碼實現(xiàn)加鹽加密，而且?guī)缀醪荒芷平狻?/p>

$password = '123456';
 
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(password_hash($password, PASSWORD_DEFAULT));

password_hash 生成的哈希長度是 PASSWORD_BCRYPT —— 60位，PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有關(guān)系，會等于其他值，但不影響使用。

每一次password_hash 運行結(jié)果都不一樣，因此需要使用password_verify 函數(shù)進行驗證。

$password = '123456';
 
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_verify($password, $hash));

password_hash 會把計算 hash 的所有參數(shù)都存儲在 hash 結(jié)果中，可以使用password_get_info 獲取相關(guān)信息。

$password = '123456';
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_get_info($hash));

輸出

array(3) {
 ["algo"]=>
 int(1)
 ["algoName"]=>
 string(6) "bcrypt"
 ["options"]=>
 array(1) {
 ["cost"]=>
 int(10)
 }
}

注意：不包含 salt

可以看出我當(dāng)前版本的 PHP 使用PASSWORD_DEFAULT 實際是使用PASSWORD_BCRYPT。

password_hash($password, $algo, $options)的第三個參數(shù)$options支持設(shè)置至少 22 位的 salt。但仍然強烈推薦使用 PHP 默認(rèn)生成的 salt，不要主動設(shè)置 salt。

當(dāng)要更新加密算法和加密選項時，可以通過 password_needs_rehash判斷是否需要重新加密，下面的代碼是一段官方示例

$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
 // Check if a newer hashing algorithm is available
 // or the cost has changed
 if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
 {
  // If so, create a new hash, and replace the old one
  $newHash = password_hash($password, PASSWORD_DEFAULT, $options);
 }
 // Log user in
}

password_needs_rehash 可以理解為比較$algo+$option 和password_get_info($hash)返回值。

password_hash 運算慢

password_hash 是出了名的運行慢，也就意味著在相同時間內(nèi)，密碼重試次數(shù)少，泄露風(fēng)險降低。

$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
 
echo "\n";
 
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
 md5($password);
}
var_dump(microtime(true));

輸出

float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)

float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)

password_hash 運行一次耗時 784 毫秒， md5 運行 1000 次耗時 5 毫秒。這是一個非常粗略的比較，跟運行機器有關(guān)，但也可以看出password_hash 運行確實非常慢。

以上是“PHP中密碼加密機制Bcrypt怎么用”這篇文章的所有內(nèi)容，感謝各位的閱讀！相信大家都有了一定的了解，希望分享的內(nèi)容對大家有所幫助，如果還想學(xué)習(xí)更多知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道！

分享文章：PHP中密碼加密機制Bcrypt怎么用-創(chuàng)新互聯(lián)
轉(zhuǎn)載來于：http://www.rwnh.cn/article0/dhheio.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制開發(fā)、Google、搜索引擎優(yōu)化、建站公司、網(wǎng)站維護、App設(shè)計

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)