コミュニティ 学ぶ ツールライブラリ レジャー
検索
日本語
ホームページ > バックエンド開発 > PHPチュートリアル > 本文

PHP を使用した安全な方法でパスワード ハッシュを保存および管理する

WBOY
リリース: 2023-07-06 14:02:02
オリジナル
1378 人が閲覧しました

PHP を使用してパスワード ハッシュを安全な方法で保存および管理する

最新の Web アプリケーションでは、ユーザー パスワードのセキュリティが非常に重要です。ユーザーのパスワードを保護するには、パスワード ハッシュを安全に保存および管理する方法が必要です。 PHP では、いくつかの強力なパスワード ハッシュ アルゴリズムと関連関数を使用してこれを実現できます。

一般に、データベースが漏洩すると、ユーザーのパスワードが完全に公開されてしまうため、ユーザーのパスワードを平文で保存すべきではありません。代わりに、パスワード ハッシュ関数を使用して、ユーザーのパスワードを不可逆的なハッシュ値に変換し、データベースに保存できます。ユーザーがログインすると、同じハッシュ関数を使用してユーザーが送信したパスワードを再度ハッシュし、データベースに保存されているハッシュ値と比較できます。

以下は、PHP でパスワード ハッシュ関数を使用したサンプル コードです。 

<?php

// 用户注册时将密码哈希化存储
function register($username, $password) {
    // 生成随机盐值
    $salt = bin2hex(random_bytes(16));

    // 哈希密码
    $hashedPassword = password_hash($password . $salt, PASSWORD_DEFAULT);

    // 存储用户名、哈希密码和盐值到数据库
    // ...
}

// 用户登录时验证密码
function login($username, $password) {
    // 从数据库中获取用户的哈希密码和盐值
    // ...

    // 计算哈希值
    $hashedPassword = password_hash($password . $salt, PASSWORD_DEFAULT);

    // 比对哈希值
    if (password_verify($hashedPassword, $storedHashedPassword)) {
        // 密码匹配,登录成功
        // ...
    } else {
        // 密码不匹配,登录失败
        // ...
    }
}

?>
ログイン後にコピー

上記のサンプル コードでは、ユーザーが登録すると、最初にランダムなソルト値が生成されます (PHP を使用できます)。 random_bytes() 関数が生成)、password_hash() 関数を使用してパスワードとソルトが連結され、ハッシュ化されます。最後に、ユーザー名、ハッシュされたパスワード、ソルトをデータベースに保存します。

ユーザーがログインすると、まずユーザーのハッシュ化されたパスワードとソルト値をデータベースから取得します。次に、ユーザーが送信したパスワードがソルト値と連結され、password_hash() 関数を使用してハッシュ計算が再度実行されます。最後に、password_verify() 関数を使用して、ユーザーが送信したハッシュ化されたパスワードとデータベースに保存されているハッシュ化されたパスワードを比較します。一致が成功した場合、パスワードは正しいため、ユーザーは正常にログインします。一致しなかった場合、ログインは失敗します。

この方法の利点は、たとえデータベースが攻撃者によって取得されたとしても、ハッシュ アルゴリズムは不可逆であるため、攻撃者はユーザーの平文パスワードを直接取得できないことです。同時に、各ユーザーは固有のソルト値を持っているため、2 人のユーザーが同じパスワードを使用した場合でも、ハッシュ値は完全に異なるため、パスワードの解読の難易度が高まります。

もちろん、パスワードのセキュリティを保護するために、複雑なパスワード ポリシー (長さ、大文字、数字、特殊文字を含める要件など) を使用するなど、追加の対策を講じることもできます。塩漬けの強さの選択、定期的な塩分値の変更など。さらに、攻撃者によって悪用される可能性のあるハッシュ アルゴリズムの既知の脆弱性を防ぐために、アプリケーションで使用されるパスワード ハッシュ アルゴリズムを定期的に更新することも推奨されます。

つまり、PHP で提供されるパスワード ハッシュ関数を最大限に活用すると、ユーザーのパスワードを安全に保存および管理できるため、ユーザーの個人情報とアカウントのセキュリティを保護できます。 SQL インジェクションの防止、SSL 暗号化を使用した機密情報の送信など、他のセキュリティ対策にも注意を払う必要があることも同様に重要です。これらのセキュリティ対策を総合的に適用することで初めて、安全で信頼性の高いネットワークアプリケーションを構築することができます。

以上がPHP を使用した安全な方法でパスワード ハッシュを保存および管理するの詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

関連ラベル:
php 安全性 パスワードハッシュ
ソース:php.cn
前の記事:PHPとAlibaba CloudのSMSインターフェースをドッキングした実際の事例におけるデータ合法性検証とセキュリティ保護技術 次の記事:エンタープライズ WeChat インターフェース ドッキングのための PHP 開発実践ガイドの共有
このウェブサイトの声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
著者別の最新記事
最新の問題
MySQL SQLクエリを使用して別のテーブルのフィールドの合計を計算する 次のようなスキーマがあります。 属性「user_id」と「username」を持つユーザーテーブルと、属性「customer_id」(user_idのFK)と「finalPrice...
から 2024-04-06 19:39:29
0
1
441
Android 上の React-Native でステータス更新が機能しない スワイプ可能な水平ギャラリーに画像のペアを含むコードがいくつかあります。両方の画像の上部をクリックすると、画像がオフに切り替わるはずです。そのため、私が行ったのは、isImage2...
から 2024-04-06 16:54:10
0
1
410
hr タグが単色白に設定されているのに半透明になるのはなぜですか? HTML(ブートストラップ付き)とCSSがあり、HTMLにはクラスを持つ<hr>タグがあり、CSSにはその境界線スタイルがあります。半透明で白い色は見えますが、「固体」...
から 2024-04-06 16:13:26
0
1
500
MySQL テーブルに複数の行を挿入して新しい ID を返すにはどうすればよいですか? 通常、MySQL テーブルに行を挿入し、last_insert_id を取得できます。しかし今、テーブルに多くの行を一括挿入して ID 配列を取得したいと考えています。誰かこれを行...
から 2024-04-06 10:03:44
0
2
294
Vue コンポーネントが完全に初期化されたことを知るにはどうすればよいでしょうか? したがって、私の Vue コンポーネントには、非同期で作成されたメソッドと、非同期ウォッチャーを備えたいくつかの変数があります。これらの変数は、一部のコンポーネントのテンプレート ...
から 2024-04-05 14:20:24
0
1
1442
関連トピック
詳細>
人気のおすすめ
人気のチュートリアル
詳細>
関連するチュートリアル
人気のおすすめ
最新のコース
最新のダウンロード
詳細>
ウェブエフェクト
公式サイト
サイト素材
フロントエンドテンプレート