如何在php内加密解密(PHP中散列密码的安全性分析)
如何在php内加密解密
PHP中散列密码的安全性分析本文实例讲述了PHP中散列密码的安全性。分享给大家供大家参考,具体如下:
php的基本哈希函数已经不再安全?
php手册中有专门的一个部分来介绍这个问题
http://php.net/manual/zh/faq.passwords.php
很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库中的,包括我最近在用的开源项目zabbix的web管理界面。
|
$password = "1234" ; $hash = md5( $password ); echo $res ; |
php常用的哈希函数有md5和sha1,这种哈希之后,一般是不可逆的,但是可以重现,也就是说同样的明文,哈希之后的结果是一样的,对于一些简单的明文,是可以通过遍历,然后对照加密之后的密文得到明文的。
网上有流传的“彩虹表”,就是遍历的到的一个非常大的数据库,存储了明文和密文的对照关系,通过查询就能得到密文对应的明文。
http://www.cmd5.com/
这个网站就提供这种服务器,也就说如果黑客“脱裤”成功,拿到用户密码的密文之后,还是有很大的可能性解密得到明文了。
将明文“1234”,通过md5加密之后,在上面的网站是很容易解密出来的。
通过“加盐”,增加破解难度
“加盐”的意思是给明文加上一些数据,然后再进行加密。这样的话,就算明文(用户的密码)比较简单,加盐之后就变得更加复杂一些,然后再加密,这就增加了黑客去解密明文的难度。
|
$password = "1234" ; $salt = "s@jn#.sK_jF3;gg*&" ; $hash = md5( $password . $salt ); echo $res ; |
同样的明文“1234”,加了一个比较复杂的“盐”之后,再进行加密,解密的难度就增加了不少,在上面的解密网站是就不能被解密出来了(最起码不付钱是解密不出来的,哈哈哈)。
上面我们对所有的密码都使用的同样的盐,这中方式是不大安全的。比如,张三和李四的密码是一样的,则存储在数据库中的密文也是一样的,这无疑让黑客更容易破解了。
更常使用的方式,是对于不同的用户使用不同的盐进行加密,在用户的注册过程中,生成用户对应的盐,然后进行存储;在用户登录时,取出盐用于加密操作,盐和用户id一一对应。
可以使用php自带的random_bytes
生成一定长度的盐
|
$password = "1234" ; $salt = bin2hex(random_bytes(32)); $hash = md5( $password . $salt ); echo $res ; |
关于盐的存储
可以将盐和密文一起存在数据库的用户信息表中,优点是数据库查询取出密码的同时也可以取出盐,进行加密比对操作,一次数据查询就可以搞定,缺点是安全性差,如果黑客“脱裤”成功,则获取密文的同时也获取了对应的盐。
更好的方案是将盐和密文分开存储,比如密文存储在mysql数据库中,盐存储在redis服务器中,这样即使黑客“脱裤”拿到了数据库中的密文,也需要再进一步拿到对应的盐才能进一步破解,安全性更好,不过这样需要进行二次查询,即每次登陆都需要从redis中取出对应的盐,牺牲了一定的性能,提高了安全性。
php5.5中更加安全的解决方案
说php是专为为web设计的语言一点也没错,应该是php开发者也注意到了这个密码保存的问题。
于是php5.5开始,就设计了password_hashing模块,用于密码的哈希和验证。
http://php.net/manual/zh/book.password.php
使用password_hash进行哈希,使用的算法、cost 和盐值作为哈希的一部分返回,所以不用单独保存salt的值,因为它每次都会自己生成salt,所以优点就是“每次加密的结果都不一样”,但是可以放心,加密结果包含了salt信息,password_verify可以正确解析。
|
$password = "1234" ; $hash = password_hash( $password ,PASSWORD_DEFAULT); |
哈希之后的结果,只能使用password_verify
进行验证,因此验证密码的功能只能由php语言来实现。
|
$password = "1234" ; $hash = password_hash( $password ,PASSWORD_DEFAULT); $res = password_verify( $password , $hash ); //验证结果为true |
优缺点分析
优点是安全性很高,即使被脱裤,也很难将密文解密,因为同一个密文,每次加密的结果都不一样,所以没法撞库!
password_hash实际上是对crypt和salt的封装,crypt加密比普通的md5和sha1更加复杂,所以耗时也更加多一些,这可以算是一个缺点,对于用户量很大,经常需要进行登录操作的站点,可能会有性能上的影响。还有一点是通用性不强,因为这种方式只适用于php语言,其他语言是没有办法对密文进行操作的。
刚才测试了一下password_hash的性能,吓的半死。。
md5.php
|
<?php $stime = microtime(true); $password = "root123@" ; $salt = "83979fklsdfgklu9023*&*(&()#&*(Y*(@&*<:L:%:::>><??11!!^%^$%$%^<>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs" ; for ( $i =0; $i <100; $i ++){ $res = md5( $password ); } $etime = microtime(true); echo "stime:$stime<br/>" ; echo "etime:$etime<br/>" ; echo "cost:" .( $etime - $stime ); |
运行结果:
stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348
password_hash.php
|
<?php $stime = microtime(true); $password = "root123@" ; for ( $i =0; $i <100; $i ++){ $res = password_hash( $password ,PASSWORD_DEFAULT); } $etime = microtime(true); echo "stime:$stime<br/>" ; echo "etime:$etime<br/>" ; echo "cost:" .( $etime - $stime ); |
运行结果:
stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424
如果是安全性要求特别高的情况下,可以使用password_hash
的方式,这种情况下一般可以通过其他方式提高服务器性能。
不过,大多是情况下,将salt存储在redis,md5之后的密文存储在mysql的方式已经非常安全了,微笑 :)
希望本文所述对大家PHP程序设计有所帮助。
原文链接:https://blog.csdn.net/koastal/article/details/53039130
- php 常见的设计模式(PHP中常用的三种设计模式详解单例模式、工厂模式、观察者模式)
- phpstudy创建本地服务器(phpstudy linux小皮面板防火墙的开启与关闭)
- phpstudy怎么修改mysql版本(PhpStudy集成环境升级MySQL数据库版本的方法)
- 怎么用单元测试php(PHP使用phpunit进行单元测试示例)
- php支付接口(PHP实现的支付宝支付功能示例)
- php中function函数的用法(PHP中quotemeta函数的用法讲解)
- apache搭建php环境(Windows上安装Apache2、PHP5、MySQL5及与Resin配合实现多系统之整合)
- docker-compose怎么编写(docker-compose部署php项目实例详解)
- php的字符串表达方法(php中字符串和整数比较的操作方法)
- php常见的数组函数(用php定义一个数组最简单的方法)
- php集成支付(ThinkPHP框架整合微信支付之刷卡模式图文详解)
- php中怎么判断变量类型(PHP INT类型在内存中占字节详解)
- php运算符与操作符(php中的buffer缓冲区用法分析)
- thinkphp怎么整合微信支付(ThinkPHP框架实现的微信支付接口开发完整示例)
- php语言程序设计基础面向对象(PHP面向对象程序设计之对象的遍历操作示例)
- thinkphp导入excel(Yii框架使用PHPExcel导出Excel文件的方法分析改进版)
- 成都旅游攻略(成都旅游攻略自由行最佳线路)
- 给儿童吃什么最好(给儿童吃什么最好消化)
- 杭州旅游攻略()
- 云南旅游攻略(云南旅游攻略5天攻略)
- 收藏 春节假期,这些景区巨划算(收藏春节假期这些景区巨划算)
- 景区游玩,这些安全知识要牢记(这些安全知识要牢记)
热门推荐
- nginx怎么实现反向代理(nginx反向代理时如何保持长连接)
- mysql 8.0.22 winx64安装配置方法图文教程(mysql 8.0.22 winx64安装配置方法图文教程)
- 什么是jsonp格式
- vue 访问后台接口(vue轮询请求解决方案的完整实例)
- JS动态操作select的option
- python怎么爬取excel数据(python爬取内容存入Excel实例)
- javascript文件解压(JavaScript 如何在线解压 ZIP 文件)
- python class转json(Python对象转换为json的方法步骤)
- ajax回调函数不执行
- django用户上传文件怎么接收(Django框架文件上传与自定义图片上传路径、上传文件名操作分析)
排行榜
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9