一尘不染

使用PHP 5.5的password_hash和password_verify函数

mysql

假设我想为用户存储密码,这是使用PHP 5.5的password_hash()功能(或针对PHP
5.3.7+的该版本:https :
//github.com/ircmaxell/password_compat)的正确方法吗?

$options = array("cost" => 10, "salt" => uniqid());
$hash = password_hash($password, PASSWORD_BCRYPT, $options);

然后我会做:

mysql_query("INSERT INTO users(username,password, salt) VALUES($username, $hash, " . $options['salt']);

插入数据库。

然后进行验证:

$row = mysql_fetch_assoc(mysql_query("SELECT salt FROM users WHERE id=$userid"));
$salt = $row["salt"];
$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 10, "salt" => $salt));

if (password_verify($password, $hash) {
    // Verified
}

阅读 344

收藏
2020-05-17

共1个答案

一尘不染

现在忽略数据库语句的问题,我将回答有关的问题password_hash

简而言之,不,这不是您的方式。您不想单独存储盐,应该同时存储哈希和盐,然后使用两者来验证密码。password_hash返回包含两者的字符串。

password_hash函数返回一个既包含哈希又包含salt的字符串。所以:

$hashAndSalt = password_hash($password, PASSWORD_BCRYPT);
// Insert $hashAndSalt into database against user

然后进行验证:

// Fetch hash+salt from database, place in $hashAndSalt variable
// and then to verify $password:
if (password_verify($password, $hashAndSalt)) {
   // Verified
}

另外,正如评论所建议的那样,如果您对安全性感兴趣,则可能要看一下mysqliext/mysqlPHP5.5中已弃用),以及有关SQL注入的这篇文章:http ://php.net/manual/en/security .database.sql-
injection.php

2020-05-17