Cara menggunakan password_hash PHP untuk mencincang dan mengesahkan kata laluan
P粉898107874
P粉898107874 2023-08-24 09:04:22
0
2
468
<p>Kebelakangan ini saya cuba melaksanakan keselamatan saya sendiri pada skrip log masuk yang saya temui di Internet. Selepas bergelut untuk belajar cara membuat skrip saya sendiri untuk menjana garam bagi setiap pengguna, saya terjumpa <kod>kata laluan_hash</kod>. </p> <p>Seperti yang saya fahami (berdasarkan membaca halaman ini), apabila anda menggunakan <kod>kata laluan_hash</kod>, garam sudah dijana dalam baris. Ini adalah benar? </p> <p>Soalan saya yang lain, bukankah bijak jika ada 2 jenis garam? Satu terus dalam fail dan satu dalam pangkalan data? Dengan cara itu, jika seseorang merosakkan garam dalam pangkalan data, anda masih boleh menyimpan garam terus dalam fail? Saya membaca di sini bahawa menyimpan garam bukanlah idea yang bijak, tetapi ia sentiasa mengelirukan saya apa yang orang maksudkan dengan itu. </p>
P粉898107874
P粉898107874

membalas semua(2)
P粉555682718

Ya, anda faham dengan betul, fungsi password_hash() akan menjana garam dengan sendirinya dan memasukkannya ke dalam nilai cincang yang dihasilkan. Adalah betul untuk menyimpan garam dalam pangkalan data, walaupun ia diketahui melakukan tugasnya.

// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($_POST['password'], PASSWORD_DEFAULT);

// Check if the hash of the entered login password, matches the stored hash.
// The salt and the cost factor will be extracted from $existingHashFromDb.
$isPasswordCorrect = password_verify($_POST['password'], $existingHashFromDb);

Garam kedua yang anda nyatakan (yang disimpan dalam fail) sebenarnya adalah kunci lada atau bahagian pelayan. Jika anda menambahnya sebelum pencincang (sama seperti garam), maka anda menambah lada. Terdapat cara yang lebih baik walaupun, anda boleh mengira cincang dahulu dan kemudian menyulitkan (kedua-dua cara) cincang menggunakan kunci sisi pelayan. Ini membolehkan anda menukar kunci jika perlu.

Bertentangan dengan garam, kunci ini harus dirahsiakan. Orang sering mencampurkannya dan cuba menyembunyikan garam, tetapi lebih baik membiarkan garam melakukan tugasnya dan menambah rahsia dengan kunci.

P粉377412096

Adalah disyorkan untuk menggunakan password_hash untuk menyimpan kata laluan. Jangan pisahkan mereka ke dalam pangkalan data dan fail.

Katakan kita mempunyai input berikut:

$password = $_POST['password'];

Anda terlebih dahulu mencincang kata laluan dengan melakukan perkara berikut:

$hashed_password = password_hash($password, PASSWORD_DEFAULT);

Kemudian lihat output:

var_dump($hashed_password);

Seperti yang anda lihat, ia dicincang. (Saya andaikan anda mengikuti langkah-langkah ini).

Sekarang anda menyimpan kata laluan cincang ini dalam pangkalan data anda, pastikan lajur kata laluan anda cukup besar untuk menampung nilai cincang (sekurang-kurangnya 60 aksara atau lebih lama) . Apabila pengguna meminta untuk log masuk, anda boleh menyemak kata laluan yang dimasukkan menggunakan cincang dalam pangkalan data, seperti ini:

// Query the database for username and password
// ...

if(password_verify($password, $hashed_password)) {
    // If the password inputs matched the hashed password in the database
    // Do something, you know... log them in.
} 

// Else, Redirect them back to the login page.

Rujukan Rasmi

Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan