PHP中創(chuàng)建和驗(yàn)證哈希的簡單方法實(shí)探
PHP 5.5.0 帶來了一份完整的全新特性與函數(shù)的列表。全新API之一就是Password Hashing API.它包含4個函數(shù):password_get_info(), password_hash(), password_needs_rehash(),和password_verify().讓我們分步來了解每個函數(shù)。
我們首先討論password_hash()函數(shù)。這將用作創(chuàng)建一個新的密碼的哈希值。它包含三個參數(shù):密碼、哈希算法、選項(xiàng)。前兩項(xiàng)為必須的。你可以根據(jù)下面的例子來使用這個函數(shù):
$password = 'foo'; $hash = password_hash($password,PASSWORD_BCRYPT); //$2y$10$uOegXJ09qznQsKvPfxr61uWjpJBxVDH2KGJQVnodzjnglhs2WTwHu
你將注意到我們并沒有給這個哈希加任何選項(xiàng)?,F(xiàn)在可用的選項(xiàng)被限定為兩個: cost 和salt。妖添加選項(xiàng)你需要創(chuàng)建一個關(guān)聯(lián)數(shù)組。
$options = [ 'cost' => 10, 'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM) ];
將選項(xiàng)添加到 password_hash() 函數(shù)后,我們的哈希值變了,這樣更加安全。
$hash = password_hash($password,PASSWORD_BCRYPT,$options); //$2y$10$JDJ5JDEwJDhsTHV6SGVIQuprRHZnGQsUEtlk8Iem0okH6HPyCoo22
現(xiàn)在哈希創(chuàng)建完畢了,我們可以通過 password_get_info() 查看新建哈希值得相關(guān)信息。 password_get_info() 需要一個參數(shù)——哈希值——并返回一個包含算法(所用哈希算法的整數(shù)代表形式)、算法名(所用哈希算法的可讀名稱)以及選項(xiàng)(我們用于創(chuàng)建哈希值得選項(xiàng))的關(guān)聯(lián)數(shù)組。
var_dump(password_get_info($hash)); /* array(3) { ["algo"]=> int(1) ["algoName"]=> string(6) "bcrypt" ["options"]=> array(1) { ["cost"]=> int(10) } } */
先一個被添加到 Password Hashing API 的是 password_needs_rehash(),它接受三個參數(shù),hash、hash 算法以及選項(xiàng),前兩個是必填項(xiàng)。 password_needs_rehash()用來檢查一個hash值是否是使用特定算法及選項(xiàng)創(chuàng)建的。這在你的數(shù)據(jù)庫受損需要調(diào)整hash時非常有用。通過利用 password_needs_rehash() 檢查每個hash值,我們可以看到已存的hash 值是否匹配新的參數(shù), 僅影響那些使用舊參數(shù)創(chuàng)建的值。
最后,我們已經(jīng)創(chuàng)建了我們的hash值,查閱了它如何被創(chuàng)建,查閱了它是否需要被重新hash,現(xiàn)在我們需要驗(yàn)證它。要驗(yàn)證純文本到其hash值,我們必須使用 password_verify(),它需要兩個參數(shù),密碼及hash值,并將返回 TRUE 或 FALSE。讓我們檢查一次我們獲得的 hashed 看看是否正確。
$authenticate = password_verify('foo','$2y$10$JDJ5JDEwJDhsTHV6SGVIQuprRHZnGQsUEtlk8Iem0okH6HPyCoo22'); //TRUE $authenticate = password_verify('bar','$2y$10$JDJ5JDEwJDhsTHV6SGVIQuprRHZnGQsUEtlk8Iem0okH6HPyCoo22'); //FALSE
通過以上知識,你可以在新的 PHP 5.5.0 版本中迅速且安全的創(chuàng)建 hash 密碼了。
相關(guān)文章
PHP下利用shell后臺運(yùn)行PHP腳本,并獲取該腳本的Process ID的代碼
PHP下利用shell后臺運(yùn)行PHP腳本,并獲取該腳本的Process ID的代碼,學(xué)習(xí)php的朋友可以參考下。2011-09-09php上傳功能集后綴名判斷和隨機(jī)命名(強(qiáng)力推薦)
本篇文章給大家分享php上傳功能集后綴名判斷和隨機(jī)命名,代碼寫的簡單易懂,感興趣的朋友快來參考下吧2015-09-09