detaillierte Erl?uterung und Best Practices für PHP -Passwort Hashing

In jeder Programmiersprache ist es entscheidend zu verstehen, wie ein Passwort hasht. In diesem Artikel wird schnell erkl?rt, wie das Kennwort in PHP implementiert und seine Bedeutung erl?utert wird.

Jeder PHP -Programmierer schreibt Anwendungen, die sich auf eine ordnungsgem??e Ausführung der Benutzer anmelden, die zu einem bestimmten Zeitpunkt ordnungsgem?? ausgeführt werden. Benutzernamen und Passw?rter werden normalerweise in einer Datenbank gespeichert und dann zur Authentifizierung verwendet. Wie wir alle wissen, dürfen Kennw?rter niemals in einer Datenbank im Klartext gespeichert werden: Wenn die Datenbank beeintr?chtigt ist, werden alle Passw?rter von b?swilligen Angreifern ausgenutzt. Aus diesem Grund müssen wir lernen, wie man das Passwort hat.

Beachten Sie, dass wir das Wort "Hash" anstelle von "Verschlüsselung" verwenden. Dies liegt daran, dass Hashing und Verschlüsselung zwei v?llig unterschiedliche Prozesse sind, die oft verwirrt sind.

Hash

Hash -Funktion nimmt eine Zeichenfolge (z. B. MyPassword123) und konvertiert sie in eine verschlüsselte Version des Zeichens, der als Hash -Wert bezeichnet wird. Zum Beispiel k?nnte der Hash von MyPassword123 eine scheinbar zuf?llige Zahl und eine Briefzeichenfolge sein, wie 9C87BAA223F464954940F859BCF2E233. Hash ist eine Einweg-Funktion. Sobald Sie etwas haben, erhalten Sie eine String feste L?nge - einen Prozess, der kaum umgekehrt ist.

Wir k?nnen zwei Hash -Werte vergleichen, um zu prüfen, ob sie beide aus derselben Originalzeichenfolge stammen. Sp?ter in diesem Artikel werden wir sehen, wie dieser Prozess mit PHP implementiert wird.

Verschlüsselung

?hnlich wie bei einem Hash nimmt die Verschlüsselung eine Eingangszeichenfolge und wandelt sie in eine scheinbar zuf?llige Zahl und eine alphabetische Zeichenfolge um. Verschlüsselung ist jedoch ein reversibler Prozess - wenn Sie den Verschlüsselungsschlüssel kennen. Da es sich um einen reversiblen Prozess handelt, ist es nicht für Passw?rter geeignet, sondern ideal für Aspekte wie SCEC-Messaging von Punkt-zu-Punkte.

Wenn wir das Kennwort anstelle von Hashing verschlüsseln und auf die Datenbank, die wir verwenden, wird von einem b?swilligen Dritten in irgendeiner Weise zugegriffen, dann werden alle Benutzerkonten bedroht - dies ist offensichtlich kein gutes Szenario.

Salz hinzufügen

Das Passwort sollte vor dem Hashing auch "gesalzen" werden. "Salt" ist eine Operation, die dem Passwort vor dem Hashing eine zuf?llige Zeichenfolge hinzufügt.

Durch Hinzufügen von Salz zum Passwort k?nnen wir W?rterbuchangriffe verhindern (der Angreifer gibt systematisch jedes Wort im W?rterbuch als Passwort ein) und Rainbow -Tabellenangriffe (der Angreifer verwendet eine Liste mit g?ngigen Passwort -Hashs).

Zus?tzlich zum Hinzufügen von Salz sollten wir beim Hashing auch einen relativ sicheren Algorithmus verwenden. Dies bedeutet, dass es sich um einen Algorithmus handelt, der noch nicht geknackt wurde, vorzugsweise ein spezialisierter Algorithmus und nicht ein allgemeiner (wie SHA512).

Ab 2023 lautet der empfohlene Hash -Algorithmus:

• argon2
• scrypt
• bcrypt
• pbkdf2

Hash -Verarbeitung in PHP

Hash -Verarbeitung in PHP ist seit der Einführung der password_hash() -Funktion in PHP 5.5 sehr einfach geworden.

Derzeit verwendet es bcrypt standardm??ig und unterstützt andere Hashing -Algorithmen wie Argon2. Die password_hash() -Funktion fügt unser Passwort automatisch automatisch hinzu.

Ende gibt es das Hashed -Passwort zurück. "Kosten" und "Salz" werden als Teil des Hashs zurückgegeben.

Einfach ausgedrückt, die Kosten in einem Passwort -Hash beziehen sich auf die Berechnung, die für die Generierung eines Hashs erforderlich ist. Es ist wie die Messung der "Schwierigkeit", einen Hash zu schaffen. Je h?her die Kosten, desto gr??er ist die Schwierigkeit.

Stellen Sie sich vor, Sie m?chten einen Kuchen machen und das Rezept für diesen Kuchen sagt: "Schlagen Sie das Ei fünf Minuten lang." Das sind die "Kosten", diesen Kuchen zu machen. Wenn Sie den Kuchen "sicherer" machen m?chten, k?nnen Sie das Rezept ?ndern, um "das Ei zehn Minuten zu schlagen". Es dauert jetzt l?nger, bis ein Kuchen hergestellt wird. Dies ist wie das Hinzufügen der ?Kosten“ für die Herstellung eines Kuchens.

Wie wir im password_hash() Dokument gelesen haben:

… alle Informationen, die zur überprüfung des Hashs erforderlich sind, sind enthalten. Auf diese Weise kann die Funktion password_verify() den Hash, ohne dass Salz- oder Algorithmusinformationen separat gespeichert werden müssen.

Dies stellt sicher, dass wir keine anderen Informationen in der Datenbank speichern müssen, um den Hash -Wert zu überprüfen.

In der Tat sieht es so aus:

<?php
$password = "sitepoint";

$hashed_password = password_hash($password, PASSWORD_DEFAULT);

if (password_verify($password, $hashed_password)) {
    //如果輸入的密碼與哈希密碼匹配，則登錄成功
} else {
    //重定向到主頁(yè)
}

Weitere Informationen zu password_hash() Funktionen finden Sie hier und finden Sie hier Informationen zu password_verify() Funktionen.

Schlussfolgerung

Für PHP -Programmierer ist es wichtig, den Unterschied zwischen Hashing und Verschlüsselung zu verstehen und Hashing zu verwenden, um Kennw?rter zu speichern, um Benutzerkonten vor Angriffen zu schützen. Mit der in PHP 5.5 eingeführten password_hash() -Funktion k?nnen Programmierer Kennw?rter mit verschiedenen Algorithmen, einschlie?lich Argon2 und BCrypt, sicher verwenden.

wie Tom Butler in PHP & MySQL: Novice to Ninja:

sagte:

Zum Glück enth?lt PHP eine sehr sichere Hashing -Methode für Passwort. Es wurde von Menschen erstellt, die diese Aspekte besser kennen als Sie und ich, und es vermeidet Entwickler wie uns, die die m?glicherweise auftretenden Sicherheitsprobleme vollst?ndig verstehen müssen. Daher wird dringend empfohlen, dass wir Hashing-Passw?rter mit dem integrierten PHP-Algorithmus haben, anstatt unsere eigenen zu erstellen.

Achten Sie darauf, dass Sie dies berücksichtigen und über die neuesten empfohlenen Hash -Algorithmen auf dem Laufenden bleiben, um die beste Sicherheit Ihrer Bewerbung zu gew?hrleisten.

h?ufig gestellte Fragen zum PHP -Passwort Hashing

Was ist Passworthashing und warum ist es in PHP wichtig? Passworthashing ist der Prozess des Konvertierens eines Klartextkennworts in eine irreversible Zeichenfolge mit fester L?nge. In PHP ist es wichtig, da es Benutzerkennw?rter schützen kann, indem es sie in einem Hash -Formular speichert, wodurch es den Angreifern schwierig macht, das ursprüngliche Passwort abzurufen.

password_hash() Welche Hash -Algorithmen sollte ich verwenden, um das Kennwort in PHP zu haben? PHP liefert password_verify() und

Funktionen, und der Bcrypt -Algorithmus wird standardm??ig verwendet. BCrypt wird empfohlen, da es sich um eine sichere Hashing -Option für Passwort handelt.

Wie kann das Passwort in PHP gehasst? Sie k?nnen das Kennwort mit der Funktion password_hash() hashieren. Zum Beispiel: password_hash($password, PASSWORD_BCRYPT).

Wie überprüfen Sie das Hash -Passwort in PHP? Um das Hash -Passwort zu überprüfen, verwenden Sie die Funktion password_verify(). Es wird überprüft, ob das angegebene Passwort der in der Datenbank gespeicherten Hashed -Version übereinstimmt.

Wann Hashing in PHP, sollte ich Salz zum Passwort hinzufügen? Ja, es wird empfohlen, ein einzigartiges Salz für jedes Passwort vor dem Hashing zu verwenden. Die password_hash() -Funktion erzeugt automatisch Salz, sodass Sie es nicht manuell verwalten müssen.

Das obige ist der detaillierte Inhalt vonSchneller Tipp: Wie man ein Passwort in PHP hat. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!