Schneller Tipp: Wie man ein Passwort in PHP hat

detaillierte Erläuterung und Best Practices für PHP -Passwort Hashing

In jeder Programmiersprache ist es entscheidend zu verstehen, wie ein Passwort hasht. In diesem Artikel wird schnell erklärt, wie das Kennwort in PHP implementiert und seine Bedeutung erläutert wird.

Jeder PHP -Programmierer schreibt Anwendungen, die sich auf eine ordnungsgemäße Ausführung der Benutzer anmelden, die zu einem bestimmten Zeitpunkt ordnungsgemäß ausgeführt werden. Benutzernamen und Passwörter werden normalerweise in einer Datenbank gespeichert und dann zur Authentifizierung verwendet. Wie wir alle wissen, dürfen Kennwörter niemals in einer Datenbank im Klartext gespeichert werden: Wenn die Datenbank beeinträchtigt ist, werden alle Passwörter von böswilligen Angreifern ausgenutzt. Aus diesem Grund müssen wir lernen, wie man das Passwort hat.

Beachten Sie, dass wir das Wort "Hash" anstelle von "Verschlüsselung" verwenden. Dies liegt daran, dass Hashing und Verschlüsselung zwei völlig unterschiedliche Prozesse sind, die oft verwirrt sind.

Hash

Hash -Funktion nimmt eine Zeichenfolge (z. B. MyPassword123) und konvertiert sie in eine verschlüsselte Version des Zeichens, der als Hash -Wert bezeichnet wird. Zum Beispiel könnte der Hash von MyPassword123 eine scheinbar zufällige Zahl und eine Briefzeichenfolge sein, wie 9C87BAA223F464954940F859BCF2E233. Hash ist eine Einweg-Funktion. Sobald Sie etwas haben, erhalten Sie eine String feste Länge - einen Prozess, der kaum umgekehrt ist.

Wir können zwei Hash -Werte vergleichen, um zu prüfen, ob sie beide aus derselben Originalzeichenfolge stammen. Später in diesem Artikel werden wir sehen, wie dieser Prozess mit PHP implementiert wird.

Verschlüsselung

Ähnlich wie bei einem Hash nimmt die Verschlüsselung eine Eingangszeichenfolge und wandelt sie in eine scheinbar zufällige Zahl und eine alphabetische Zeichenfolge um. Verschlüsselung ist jedoch ein reversibler Prozess - wenn Sie den Verschlüsselungsschlüssel kennen. Da es sich um einen reversiblen Prozess handelt, ist es nicht für Passwörter geeignet, sondern ideal für Aspekte wie SCEC-Messaging von Punkt-zu-Punkte.

Wenn wir das Kennwort anstelle von Hashing verschlüsseln und auf die Datenbank, die wir verwenden, wird von einem böswilligen Dritten in irgendeiner Weise zugegriffen, dann werden alle Benutzerkonten bedroht - dies ist offensichtlich kein gutes Szenario.

Salz hinzufügen

Das Passwort sollte vor dem Hashing auch "gesalzen" werden. "Salt" ist eine Operation, die dem Passwort vor dem Hashing eine zufällige Zeichenfolge hinzufügt.

Durch Hinzufügen von Salz zum Passwort können wir Wörterbuchangriffe verhindern (der Angreifer gibt systematisch jedes Wort im Wörterbuch als Passwort ein) und Rainbow -Tabellenangriffe (der Angreifer verwendet eine Liste mit gängigen Passwort -Hashs).

Zusätzlich zum Hinzufügen von Salz sollten wir beim Hashing auch einen relativ sicheren Algorithmus verwenden. Dies bedeutet, dass es sich um einen Algorithmus handelt, der noch nicht geknackt wurde, vorzugsweise ein spezialisierter Algorithmus und nicht ein allgemeiner (wie SHA512).

Ab 2023 lautet der empfohlene Hash -Algorithmus:

• argon2
• scrypt
• bcrypt
• pbkdf2

Hash -Verarbeitung in PHP

Hash -Verarbeitung in PHP ist seit der Einführung der password_hash() -Funktion in PHP 5.5 sehr einfach geworden.

Derzeit verwendet es bcrypt standardmäßig und unterstützt andere Hashing -Algorithmen wie Argon2. Die password_hash() -Funktion fügt unser Passwort automatisch automatisch hinzu.

Ende gibt es das Hashed -Passwort zurück. "Kosten" und "Salz" werden als Teil des Hashs zurückgegeben.

Einfach ausgedrückt, die Kosten in einem Passwort -Hash beziehen sich auf die Berechnung, die für die Generierung eines Hashs erforderlich ist. Es ist wie die Messung der "Schwierigkeit", einen Hash zu schaffen. Je höher die Kosten, desto größer ist die Schwierigkeit.

Stellen Sie sich vor, Sie möchten einen Kuchen machen und das Rezept für diesen Kuchen sagt: "Schlagen Sie das Ei fünf Minuten lang." Das sind die "Kosten", diesen Kuchen zu machen. Wenn Sie den Kuchen "sicherer" machen möchten, können Sie das Rezept ändern, um "das Ei zehn Minuten zu schlagen". Es dauert jetzt länger, bis ein Kuchen hergestellt wird. Dies ist wie das Hinzufügen der „Kosten“ für die Herstellung eines Kuchens.

Wie wir im password_hash() Dokument gelesen haben:

… alle Informationen, die zur Überprüfung des Hashs erforderlich sind, sind enthalten. Auf diese Weise kann die Funktion password_verify() den Hash, ohne dass Salz- oder Algorithmusinformationen separat gespeichert werden müssen.

Dies stellt sicher, dass wir keine anderen Informationen in der Datenbank speichern müssen, um den Hash -Wert zu überprüfen.

In der Tat sieht es so aus:

<?php
$password = "sitepoint";

$hashed_password = password_hash($password, PASSWORD_DEFAULT);

if (password_verify($password, $hashed_password)) {
    //如果输入的密码与哈希密码匹配，则登录成功
} else {
    //重定向到主页
}

Weitere Informationen zu password_hash() Funktionen finden Sie hier und finden Sie hier Informationen zu password_verify() Funktionen.

Schlussfolgerung

Für PHP -Programmierer ist es wichtig, den Unterschied zwischen Hashing und Verschlüsselung zu verstehen und Hashing zu verwenden, um Kennwörter zu speichern, um Benutzerkonten vor Angriffen zu schützen. Mit der in PHP 5.5 eingeführten password_hash() -Funktion können Programmierer Kennwörter mit verschiedenen Algorithmen, einschließlich Argon2 und BCrypt, sicher verwenden.

wie Tom Butler in PHP & MySQL: Novice to Ninja:

sagte:

Zum Glück enthält PHP eine sehr sichere Hashing -Methode für Passwort. Es wurde von Menschen erstellt, die diese Aspekte besser kennen als Sie und ich, und es vermeidet Entwickler wie uns, die die möglicherweise auftretenden Sicherheitsprobleme vollständig verstehen müssen. Daher wird dringend empfohlen, dass wir Hashing-Passwörter mit dem integrierten PHP-Algorithmus haben, anstatt unsere eigenen zu erstellen.

Achten Sie darauf, dass Sie dies berücksichtigen und über die neuesten empfohlenen Hash -Algorithmen auf dem Laufenden bleiben, um die beste Sicherheit Ihrer Bewerbung zu gewährleisten.

häufig gestellte Fragen zum PHP -Passwort Hashing

Was ist Passworthashing und warum ist es in PHP wichtig? Passworthashing ist der Prozess des Konvertierens eines Klartextkennworts in eine irreversible Zeichenfolge mit fester Länge. In PHP ist es wichtig, da es Benutzerkennwörter schützen kann, indem es sie in einem Hash -Formular speichert, wodurch es den Angreifern schwierig macht, das ursprüngliche Passwort abzurufen.

password_hash() Welche Hash -Algorithmen sollte ich verwenden, um das Kennwort in PHP zu haben? PHP liefert password_verify() und

Funktionen, und der Bcrypt -Algorithmus wird standardmäßig verwendet. BCrypt wird empfohlen, da es sich um eine sichere Hashing -Option für Passwort handelt.

Wie kann das Passwort in PHP gehasst? Sie können das Kennwort mit der Funktion password_hash() hashieren. Zum Beispiel: password_hash($password, PASSWORD_BCRYPT).

Wie überprüfen Sie das Hash -Passwort in PHP? Um das Hash -Passwort zu überprüfen, verwenden Sie die Funktion password_verify(). Es wird überprüft, ob das angegebene Passwort der in der Datenbank gespeicherten Hashed -Version übereinstimmt.

Wann Hashing in PHP, sollte ich Salz zum Passwort hinzufügen? Ja, es wird empfohlen, ein einzigartiges Salz für jedes Passwort vor dem Hashing zu verwenden. Die password_hash() -Funktion erzeugt automatisch Salz, sodass Sie es nicht manuell verwalten müssen.

Das obige ist der detaillierte Inhalt vonSchneller Tipp: Wie man ein Passwort in PHP hat. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!