Sollte ich das Salt nur speichern, wenn ich „password_hash()' von PHP 5.5 für die Passwortsicherheit verwende?

Passwortsicherheit mit den Funktionen „password_hash“ und „password_verify“ von PHP 5.5

Abfrage:

Beim sicheren Speichern von Passwörtern mit PHP 5.5 Ist es in der Funktion „password_hash()“ angemessen, nur das Salz in zu speichern? Datenbank?

Antwort:

Nein. Für eine verbesserte Passwortsicherheit ist es wichtig, sowohl den Hash als auch den Salt in der Datenbank zu speichern. Password_hash generiert bequem eine Zeichenfolge, die beide Elemente enthält.

Empfehlungen:

So implementieren Sie eine sichere Passwortspeicherung:

1. Generierung: Verwenden Sie „password_hash()“, um ein gehashtes Passwort zu erstellen: $hashAndSalt = passwort_hash($password, PASSWORD_BCRYPT);
2. Speicher: Fügen Sie $hashAndSalt in die Datenbank für den entsprechenden Benutzer ein.
3. Verifizierung: Zur Verifizierung von a Geben Sie das übermittelte Passwort ein, rufen Sie das gespeicherte $hashAndSalt aus der Datenbank ab und verwenden Sie „password_verify()“: passwort_verify($password, $hashAndSalt)

Zusätzliche Überlegungen:

• Sicherheitspraktiken: Verwenden Sie MySQL anstelle des veralteten ext/mysql zur Verbesserung Sicherheit.
• SQL-Injection-Prävention: Verstehen und mindern Sie die Risiken der SQL-Injection, indem Sie Best Practices befolgen (z. B. vorbereitete Anweisungen).

Das obige ist der detaillierte Inhalt vonSollte ich das Salt nur speichern, wenn ich „password_hash()' von PHP 5.5 für die Passwortsicherheit verwende?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!