您的位置:

php密码加盐hash(密码为什么要加盐)

本文目录一览:

Laravel 5.2 默认的密码加密,怎么加点盐?

查看这部分的源代码可得,

// Laravel 的 bcrypt 就是

$hash = password_hash($value, PASSWORD_BCRYPT, ['cost' = 10]);

因为 password_hash 使用的是 crypt 算法, 因此参与计算 hash值的:

算法(就像身份证开头能知道省份一样, 由盐值的格式决定), cost(默认10) 和 盐值 是在$hash中可以直接看出来的!

所以说, Laravel 中bcrypt的盐值是PHP自动随机生成的字符, 虽然同一个密码每次计算的hash不一样.

但是通过 $hash 和 密码, 却可以验证密码的正确性!

具体来说, 比如这个

$hash = password_hash('password',PASSWORD_BCRYPT,['cost' = 10]);

echo $hash;

// 比如我这次算的是

// $hash = '$2y$10$DyAJOutGjURG9xyKgAaCtOm4K1yezvgNkxHf6PhuLYBCENk61bePm';

那么我们从这个 crypt的hash值中可以看到,

因为以$2y$开头, 所以它的算法是 CRYPT_BLOWFISH .

同时 CRYPT_BLOWFISH 算法盐值格式规定是 :

以$2y$开头 + 一个两位cost参数 + $ + 22位随机字符("./0-9A-Za-z")

$hash(CRYPT_BLOWFISH是固定60位) = 盐值 + 31位单向加密后的值

怎么搭建php服务器?

php服务器搭建有两种方式

一种是linux+apache+mysql+php方式。

另外一种是windows+IIS+mysql+php方式。

还有一种方式,就是在windows模式下,用apache作为服务器。

这种情况。第一种配置较为复杂。而且一般作为服务器居多,个人电脑测试用,一般以windows为主。

所以下面的配置方式以windows7为例:

首先,你需要去下载php的原始文件,绿色版的,安装版的均可。

1.将下载的php压缩解压。得到如下的目录

2.添加IIS,windows7默认情况下是不安装IIS的。

打开控制面板-程序和功能-打开或关闭windows功能。安装好IIS后如下:

3,添加处理程序映射

请求路径设为*.php,模块选择fastCgiModule。在windows+IIS模式下。fastCGI模式比传统的isapi模式效率要高很多。

可执行文件选择刚才解压的目录。文件类型选择.exe,选择对应的文件即可。下面的名称可任意。

然后确定。重启IIS。服务器就好了。另外所谓的MYSQL。直接下载安装版的就行了。

PHP常用加密解密方法

作者/上善若水

1.md5(string $str,bool $flag = false);

$flag = false 默认返回32位的16进至数据散列值

$flag = true  返回原始流数据

2.sha1($string,$flag = false)

$flag = false 默认返回40位的16进至数据散列值

true  返回原始流数据

3.hash(string $algo,srting $str,bool $flag);

$algo : 算法名称,可通过hash_algos()函数获取所有hash加密的算法

如:md5,sha1等,采用md5,sha1加密所得结果和1,2两种方式结 果相同。

$flag = false 默认返回16进至的数据散列值,具体长度根据算法不同

而不同。

true  返回原始流数据。

4.crypt(string $str,$string $salt);

函数返回使用 DES、Blowfish 或 MD5 算法加密的字符串。

具体算法依赖于PHP检查之后支持的算法和$salt的格式和长度,当 然具体结果也和操作系统有关。比较结果采用 hash_equals($crypted,crypt($input,$salt));//且salt值相同

Password_verify($str,$crypted);

5.password_hash ( string $str, integer $algo [, array $options ] )

函数返回哈希加密后的密码字符串, password_hash() 是crypt()的 一个简单封装

$algo : 算法 PASSWORD_DEFAULT ,PASSWORD_BCRYPT

$options = [

“cost”=10,//指明算法递归的层数,

“salt”=“xxadasdsad”//加密盐值,即将被遗 弃,采用系统自动随机生成安全性更高

];

使用的算法、cost 和盐值作为哈希的一部分返回

Password_verify($str,$hashed);

6.base64_encode(string $str)

设计此种编码是为了使二进制数据可以通过非纯 8-bit 的传输层 传输,例如电子邮件的主体。base64_decode(string $encoded)

可以进行解码;

7.mcrypt_encrypt ( string $cipher , string $key , string $data ,

string $mode [, string $iv ] )

mcrypt_decrypt ( string $cipher , string $key , string $crypted ,

string $mode [, string $iv ] )

$ciper:加密算法,mcrypt_list_algorithms()可以获取该函数所有支持的算法

如MCRYPT_DES(“des”),MCRYPT_RIJNDAEL_128(“rijndael-128”);

$mode : 加密模式 ,mcrypt_list_modes()获取所有支持的加密模式,ecb,cbc

$key: 加密的秘钥,mcrypt_get_key_size ( string $cipher , string $mode )

获取指定的算法和模式所需的密钥长度。$key要满足这个长度,如果长 度无效会报出警告。

$iv : 加密的初始向量,可通过mcrypt_create_iv ( int $size [, int $source = MCRYPT_DEV_URANDOM ] ),

Iv的参数size:

通过mcrypt_get_iv_size ( string $cipher , string $mode )获取

Iv 的参数source:

初始向量数据来源。可选值有: MCRYPT_RAND (系统随机数生成 器), MCRYPT_DEV_RANDOM (从 /dev/random 文件读取数据) 和  MCRYPT_DEV_URANDOM (从 /dev/urandom 文件读取数据)。 在 Windows 平台,PHP 5.3.0 之前的版本中,仅支持 MCRYPT_RAND。

请注意,在 PHP 5.6.0 之前的版本中, 此参数的默认值 为 MCRYPT_DEV_RANDOM。

Note: 需要注意的是,如果没有更多可用的用来产生随机数据的信息, 那么 MCRYPT_DEV_RANDOM 可能进入阻塞状态。

$data : 要加密的字符串数据

用php将密码存入数据库,用什么方法进行加密?

题主你可以使用 md5 或者 sha1 进行初步处理,但为了更加安全,请你同时加上两个 salt,一个静态 salt,一个动态的 salt。以 md5 为例:

假设通过 POST 传来的密码为 $_POST['password'],在存入 DB 前先进行如下的操作:

$password = hash('md5', $_POST['password'].$staticSalt.$dynamicSalt);

为了保证动态 salt 的唯一性,可以这样操作:

$dynamicSalt = hash('md5', microtime());

对于动态的 salt 可以与生成的密码一起保存在 DB 中,而静态 salt 则可以直接放在类文件中(例如定义为一个静态属性即可)。

首先谢谢题主采纳了我的答案,但是我之前的回答并不是最佳答案,之所以有此加密的想法源于自己所读的源码可能比较老,所以并没使用上较新版本的加密方法,例如 bcrypt等。

此外,第二点,感谢评论中几位前辈的提点,已经明白设置静态 salt 的意义并不大,生成一个较长的动态 salt 已然可以解决问题。

LZ应该采用加盐HASH。

如何“腌制”密码呢?

=_,=

正确的格式应该是,用户password+动态的salt

动态的salt不能像2L所说的,使用microtime,因为时间在某些情况下不够随机,而且是可能被猜解的。

这里推荐一个我用的加盐HASH

$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));

$password=sha1($register_password.$salt);

解释:

首先使用mcrypt,产生电脑随机生成的,专门用户加密的随机数函数。

第二步,把得到的随机数通过base64加密,使其变长并且不利于猜解。

第三步,把得出的盐拼接到密码的后面,再对其使用sha1进行哈希

再把password存入到用户的数据库。

PS:为何不用静态的salt?没有必要,使用一个动态随机足够长的盐足矣。

为何不用MD5?因为长度不够。

为何没有使用多次HASH?因为这样反而容易发生碰撞。

HASH好之后怎么使用“腌制”好的密码?

用户注册-提交密码-产生salt-腌制好的密码存入数据库-salt存入数据库。

用户登录-提交密码-调用salt接到提交密码的后面-进行HASH-调用之前注册腌制好的密码-对比HASH值是否和这个密码相同