PHP のpassword_hash() 関数とpassword_verify() 関数が異なる結果を生成するのはなぜですか?

PHP のpassword_hash() 関数とpassword_verify() 関数におけるパスワード検証の不一致

PHP では、password_hash() 関数とpassword_verify() 関数は次のとおりです。ユーザーのパスワードを安全に処理および検証するために一般的に使用されます。ただし、特定のシナリオでは、パスワード照合に予期しない不一致が発生する可能性があります。

問題ステートメント

password_hash() を使用してパスワードを暗号化し、それらを確認するには、password_verify() を使用します。 password_verify() の結果が元の暗号化されていないパスワードと一致していないことがわかりました。

不一致について

不一致はハッシュ アルゴリズムの性質により発生します。 。ハッシュには、プレーン テキスト入力を一意で予測不可能な固定長出力 (ハッシュと呼ばれる) に変換することが含まれます。このプロセスは不可逆的です。つまり、ハッシュから元の入力を取得することは計算上実行不可能です。

password_hash() を使用してパスワードを暗号化すると、bcrypt アルゴリズムを使用してハッシュが生成されます。この暗号化されたハッシュはデータベースに保存されます。ユーザーがログインしようとすると、指定されたパスワードは、password_hash() を使用して再度ハッシュされ、保存されているハッシュと比較されます。

不一致の解決

パスワードが正しいことを確認するには検証では、パスワードが最初にハッシュされたときに使用されたものと同じアルゴリズムと構成を使用することが重要です。実行する必要がある手順は次のとおりです:

1. アルゴリズムと構成の確認: 登録スクリプトとログイン スクリプトの両方で、password_hash() で使用されているアルゴリズムが、保存されているパスワードに関連付けられているアルゴリズムと一致することを確認します。デフォルトでは、password_hash() は bcrypt を使用しますが、適切なコスト係数を指定することで他のアルゴリズムを指定できます。

<code class="php">$password = password_hash($pwd, PASSWORD_DEFAULT); // Using default bcrypt algorithm</code>

2. Consistent Hashing Parameters:コスト係数やソルトなどのハッシュ パラメータをカスタマイズすると、登録スクリプトとログイン スクリプトの両方で一貫性が確保されます。これらのパラメータにバリエーションがあると、同じ入力パスワードであっても、異なるハッシュが生成される可能性があります。
3. 安全な比較を使用する:password_verify() を使用してパスワードを比較する場合は、等価比較 (==) の使用を避けてください。または ===)。代わりに、この目的のために特別に設計されたpassword_verify()関数を使用してください。この関数は、パスワード パターンを明らかにする可能性のあるタイミング攻撃を処理できるためです。

<code class="php">if (password_verify($pwd, $password)) {
    // Password matches
}</code>

4. プリペアド ステートメントを検討してください。 SQL インジェクション攻撃を防ぐには、データベースにクエリを実行してハッシュ化されたパスワードを取得するときに、プリペアド ステートメントを使用することを検討してください。

次の手順に従うことで、password_hash() 関数とpassword_verify() 関数が動作することを確認できます。正しく正しく、信頼性が高く安全なパスワードの処理と検証を提供します。

以上がPHP のpassword_hash() 関数とpassword_verify() 関数が異なる結果を生成するのはなぜですか?の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。