php的password_hash()用法

一、前言
PHP5.5 (PHP 5 >= 5.5.0) 提供了许多新特性及Api函数,其中之一就是Password Hashing API(创建和校验哈希密码)。
它包含4个函数:password_get_info()、password_hash()、password_needs_rehash()、password_verify()。


在PHP5.5之前,我们对于密码的加密可能更多的是采用md5或sha1之类的加密方式(没人像CSDN那样存明文吧。。),如:

Php代码  收藏代码
  1. echo md5("123456"); //输出: e10adc3949ba59abbe56e057f20f883e  

 
但是简单的md5加密很容易通过字典的方式进行破解,随便找个md5解密的网站就能获取原始密码。

 

二、Password Hashing API
php5.5提供的Password Hashing API就能很好的解决这些问题。
我们先来看password_hash()函数:

Php代码  收藏代码
  1. string password_hash ( string $password , integer $algo [, array $options ])  

 

它有三个参数:密码、哈希算法、选项。前两项为必须的。
让我们使用password_hash()简单的创建一个哈希密码:

Php代码  收藏代码
  1. $pwd = "123456";  
  2. $hash = password_hash($pwd, PASSWORD_DEFAULT);  
  3. echo $hash;  

 

上例输出结果类似:$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2
并且刷新页面该哈希值也会不断的变化。
哈希值创建完毕,我们可以用password_verify()来校验密码是否和哈希值匹配:

Php代码  收藏代码
  1. boolean password_verify ( string $password , string $hash )  

 

它接收2个参数:密码和哈希值,并返回布尔值。检查之前生成的哈希值是否和密码匹配:

Php代码  收藏代码
  1. if (password_verify($pwd,'$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2')) {   
  2.   
  3.     echo "密码正确";  
  4. else {   
  5.     echo "密码错误";  
  6. }   

 

基本上使用以上这2个函数就能安全的创建和校验hash密码了,还有另外2个API函数:

Php代码  收藏代码
  1. password_get_info()              //查看哈希值的相关信息  
  2. password_needs_rehash()     //检查一个hash值是否是使用特定算法及选项创建的  

 

三、点评
虽然通过password_hash()创建的哈希密码更加安全,但是却降低了互操作性。
如我们使用md5方式,在php中用标准的MD5加密,很容易通过其他语言来校验,如node.js:

Php代码  收藏代码
  1. var hash = crypto.createHash('md5').update("123456").digest('hex');  
  2. if(hash == "e10adc3949ba59abbe56e057f20f883e")  console.log('密码正确');  

 

而使用password_hash()加密的哈希值基本只能通过PHP的password_verify来校验。
这2种方法各有优劣,是使用md5(或sha1等)+salt(干扰字符串)的方式还是使用password_hash()大家根据具体情况取舍吧。

 

from:http://justcoding.iteye.com/blog/2147044

posted @ 2017-09-07 16:01  盘思动  阅读(1028)  评论(0编辑  收藏  举报