山东11选5计划软件

PHP中散列密码的安全性分析

 更新时间:2019年07月26日 10:21:12   山东11选5:koastal   我要评论

这篇文章主要介绍了PHP中散列密码的安全性,结合实例形式分析了php基本哈希函数安全性问题及相关解决方案,需要的朋友可以参考下

本文实例讲述了PHP中散列密码的安全性。分享给大家供大家参考,具体如下:

php的基本哈希函数已经不再安全?

php手册中有专门的一个部分来介绍这个问题

很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库中的,包括我最近在用的开源项目zabbix的web管理界面。

$password = "1234";
$hash = md5($password);
echo $res;

php常用的哈希函数有md5和sha1,这种哈希之后,一般是不可逆的,但是可以重现,也就是说同样的明文,哈希之后的结果是一样的,对于一些简单的明文,是可以通过遍历,然后对照加密之后的密文得到明文的。

山东11选5计划软件网上有流传的“彩虹表”,就是遍历的到的一个非常大的数据库,存储了明文和密文的对照关系,通过查询就能得到密文对应的明文。

这个网站就提供这种服务器,也就说如果黑客“脱裤”成功,拿到用户密码的密文之后,还是有很大的可能性解密得到明文了。

将明文“1234”,通过md5加密之后,在上面的网站是很容易解密出来的。

通过“加盐”,增加破解难度

“加盐”的意思是给明文加上一些数据,然后再进行加密。这样的话,就算明文(用户的密码)比较简单,加盐之后就变得更加复杂一些,然后再加密,这就增加了黑客去解密明文的难度。

$password = "1234";
$salt = "s@jn#.sK_jF3;gg*&";
$hash = md5($password.$salt);
echo $res;

同样的明文“1234”,加了一个比较复杂的“盐”之后,再进行加密,解密的难度就增加了不少,在上面的解密网站是就不能被解密出来了(最起码不付钱是解密不出来的,哈哈哈)。

上面我们对所有的密码都使用的同样的盐,这中方式是不大安全的。比如,张三和李四的密码是一样的,则存储在数据库中的密文也是一样的,这无疑让黑客更容易破解了。

更常使用的方式,是对于不同的用户使用不同的盐进行加密,在用户的注册过程中,生成用户对应的盐,然后进行存储;在用户登录时,取出盐用于加密操作,盐和用户id一一对应。

可以使用php自带的random_bytes生成一定长度的盐

$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;

关于盐的存储

可以将盐和密文一起存在数据库的用户信息表中,优点是数据库查询取出密码的同时也可以取出盐,进行加密比对操作,一次数据查询就可以搞定,缺点是安全性差,如果黑客“脱裤”成功,则获取密文的同时也获取了对应的盐。

山东11选5计划软件更好的方案是将盐和密文分开存储,比如密文存储在mysql数据库中,盐存储在redis服务器中,这样即使黑客“脱裤”拿到了数据库中的密文,也需要再进一步拿到对应的盐才能进一步破解,安全性更好,不过这样需要进行二次查询,即每次登陆都需要从redis中取出对应的盐,牺牲了一定的性能,提高了安全性。

php5.5中更加安全的解决方案

山东11选5计划软件说php是专为为web设计的语言一点也没错,应该是php开发者也注意到了这个密码保存的问题。

于是php5.5开始,就设计了password_hashing模块,用于密码的哈希和验证。

使用password_hash进行哈希,使用的算法、cost 和盐值作为哈希的一部分返回,所以不用单独保存salt的值,因为它每次都会自己生成salt,所以优点就是“每次加密的结果都不一样”,但是可以放心,加密结果包含了salt信息,password_verify可以正确解析。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);

哈希之后的结果,只能使用password_verify进行验证,因此验证密码的功能只能由php语言来实现。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash);  //验证结果为true

优缺点分析

山东11选5计划软件优点是安全性很高,即使被脱裤,也很难将密文解密,因为同一个密文,每次加密的结果都不一样,所以没法撞库!

山东11选5计划软件password_hash实际上是对crypt和salt的封装,crypt加密比普通的md5和sha1更加复杂,所以耗时也更加多一些,这可以算是一个缺点,对于用户量很大,经常需要进行登录操作的站点,可能会有性能上的影响。还有一点是通用性不强,因为这种方式只适用于php语言,其他语言是没有办法对密文进行操作的。

刚才测试了一下password_hash的性能,吓的半死。。

md5.php

<?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023*&*(&()#&*(Y*(@&*<:L:%:::>><??11!!^%^$%$%^<>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i<100;$i++){
  $res = md5($password);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

运行结果:

stime:1478265603.1118
etime:1478265603.1229
山东11选5计划软件 cost:0.011116981506348

山东11选5计划软件password_hash.php

<?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i<100;$i++){
  $res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

运行结果:

stime:1478265640.382
etime:1478265646.6675
山东11选5计划软件 cost:6.2854981422424

如果是安全性要求特别高的情况下,可以使用password_hash的方式,这种情况下一般可以通过其他方式提高服务器性能。

山东11选5计划软件不过,大多是情况下,将salt存储在redis,md5之后的密文存储在mysql的方式已经非常安全了,微笑 :)

PS:关于加密解密感兴趣的朋友还可以参考本站在线工具:

文字在线加密解密工具(包含AES、DES、RC4等):

MD5在线加密工具:

在线散列/哈希算法加密工具:

在线MD5/hash/SHA-1/SHA-2/SHA-256/SHA-512/SHA-3/RIPEMD-160加密工具:

在线sha1/sha224/sha256/sha384/sha512加密工具:

更多关于PHP相关内容感兴趣的读者可查看本站专题:《php加密方法总结》、《PHP编码与转码操作技巧汇总》、《PHP数学运算技巧总结》、《PHP数组(Array)操作技巧大全》、《php字符串(string)用法总结》、《PHP数据结构与算法教程》、《php程序设计算法总结》及《php正则表达式用法总结

山东11选5计划软件希望本文所述对大家PHP程序设计有所帮助。

相关文章

  • PHP通过get方法获得form表单数据方法总结

    PHP通过get方法获得form表单数据方法总结

    这篇文章我们给大家介绍了PHP如何通过get的方式来得到获取form表单数据的方法,有需要的朋友们参考下。
    2018-09-09
  • PHP简单选择排序(Simple Selection Sort)算法学习

    PHP简单选择排序(Simple Selection Sort)算法学习

    这篇文章主要为大家详细介绍了PHP简单选择排序(Simple Selection Sort)算法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
    2018-01-01
  • 修改了一个很不错的php验证码(支持中文)

    修改了一个很不错的php验证码(支持中文)

    很早前在PHP喜悦国际村看到的一个验证码类,写的很强。但有些逻辑方面感觉处理的不好,然后我不喜欢完全用session来处理验证码。这在大型系统中是很不好的
    2007-02-02
  • php抓取并保存网站图片的实现代码

    php抓取并保存网站图片的实现代码

    这篇文章主要介绍了php抓取并保存网站图片的实现代码,网页源代码捕获,图片链接获取、分析、并将同样的图片链接合并功能。功能很全面,需要的朋友可以参考下
    2015-10-10
  • php多个字符串替换成同一个的解决方法

    php多个字符串替换成同一个的解决方法

    本篇文章是对php多个字符串替换成同一个的方法进行了详细的分析介绍,需要的朋友参考下
    2013-06-06
  • php从文件夹随机读取文件的方法

    php从文件夹随机读取文件的方法

    这篇文章主要介绍了php从文件夹随机读取文件的方法,可实现php从指定的目录随机读取文件及设置参数进行文件过滤的功能,需要的朋友可以参考下
    2015-06-06
  • 深思 PHP 数组遍历的差异(array_diff 的实现)

    深思 PHP 数组遍历的差异(array_diff 的实现)

    还是部门无聊的考题,不过这次考的是 PHP 的能力。题目如下: 给你两个分别有 5000 个元素的数组,计算他们的差集 -- 说白了也就是用 PHP 和你认为最好的算法实现 array_diff 的算法。初次接到这个题目,我发现这非常的简单,于是按照以往的经验“随便”写了一个:
    2008-03-03
  • php堆排序实现原理与应用方法

    php堆排序实现原理与应用方法

    这篇文章主要介绍了php堆排序实现原理与应用方法,较为详细的分析了堆排序的原理及使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下
    2015-01-01
  • 深入Apache与Nginx的优缺点比较详解

    深入Apache与Nginx的优缺点比较详解

    本篇文章是对Apache与Nginx的优点与缺点进行了详细的分析比较,需要的朋友参考下
    2013-06-06
  • PHP使用preg_split()分割特殊字符(元字符等)的方法分析

    PHP使用preg_split()分割特殊字符(元字符等)的方法分析

    这篇文章主要介绍了PHP使用preg_split()分割特殊字符(元字符等)的方法,结合具体实例形式分析了php正则分割的操作技巧与注意事项,需要的朋友可以参考下
    2017-02-02

最新评论

众盈彩票网址 - 杭可科技 新生彩票娱乐平台网址 好乐多彩票平台网址 - 长乐市工艺美术协会