本篇內(nèi)容介紹了“php怎么給密碼加鹽”的有關(guān)知識(shí),在實(shí)際案例的操作過程中,不少人都會(huì)遇到這樣的困境�,接下來就讓小編帶領(lǐng)大家學(xué)習(xí)一下如何處理這些情況吧���!希望大家仔細(xì)閱讀,能夠?qū)W有所成��!
什么叫給密碼“加鹽”���?如何安全的為你的用戶密碼“加鹽”?
在面對(duì)這個(gè)網(wǎng)絡(luò)世界的時(shí)候���,密碼安全總是各個(gè)公司和用戶都非常關(guān)心的一個(gè)內(nèi)容�,畢竟現(xiàn)在大家不管是休閑娛樂還是學(xué)習(xí)購(gòu)物都是通過網(wǎng)上的帳號(hào)來進(jìn)行消費(fèi)的�,所以我們通常會(huì)給用戶的密碼進(jìn)行加密。在加密的時(shí)候�,經(jīng)常會(huì)聽到“加鹽”這個(gè)詞,這是什么意思呢�?
我們通常會(huì)將用戶的密碼進(jìn)行 Hash 加密,如果不加鹽�,即使是兩層的 md5 都有可能通過彩虹表的方式進(jìn)行破譯。彩虹表就是在網(wǎng)上搜集的各種字符組合的 Hash 加密結(jié)果�����。而加鹽��,就是人為的通過一組隨機(jī)字符與用戶原密碼的組合形成一個(gè)新的字符,從而增加破譯的難度��。就像做飯一樣���,加點(diǎn)鹽味道會(huì)更好��。
接下來����,我們通過代碼來演示一種比較安全的加鹽方式�����。
首先�����,我們建一個(gè)簡(jiǎn)單的用戶表����。這個(gè)表里只有四個(gè)字段,在這里僅作為測(cè)試使用���。
CREATE TABLE `zyblog_test_user` (
`id` int(11) NOT NULL AUTO_INCREMENT,
`username` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '用戶名',
`password` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '密碼',
`salt` char(4) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '鹽',
PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin;
然后定義兩個(gè)方式�����,一個(gè)用來生成鹽���,一個(gè)用來生成加鹽后的 Hash 密碼�����。
/**
* 隨機(jī)生成四位字符串的salt
* 也可以根據(jù)實(shí)際情況使用6位或更長(zhǎng)的salt
*/
function generateSalt()
{
// 使用隨機(jī)方式生成一個(gè)四位字符
$chars = array_merge(range('A', 'Z'), range('a', 'z'), range('0', '9'));
for ($i = 0; $i < 4; $i++) {
$str .= $chars[mt_rand(0, count($chars) - 1)];
}
return $str;
}
/**
* 密碼生成
* 使用兩層hash�,將salt加在第二層
* sha1后再加salt然后再md5
*/
function generateHashPassword($password, $salt)
{
return md5(sha1($password) . $salt);
}
generateSalt() 方法很簡(jiǎn)單��,就是生成一個(gè)隨機(jī)的四位字符的字符串�����,我們使用大小寫加數(shù)字的形式生成這個(gè)字符串���。這就是傳說中的“鹽”。
接下來我們就可以使用 generateHashPassword() 方法為用戶的原密碼加鹽���。在這里我們第一層先使用 sha1() 對(duì)原密碼進(jìn)行一次 Hash �,然后使用這個(gè) Hash 值拼接鹽字符串后再進(jìn)行 md5() 加密�����。最后加密出來的 Hash 值就很難在彩虹表中找到了。即使找到�,也只是上層 sha1() 拼接鹽字符串的內(nèi)容,用戶的原文密碼畢竟還有一層加密���。
剩下的就是我們進(jìn)行出入庫(kù)的注冊(cè)登錄測(cè)試了���。
$pdo = new PDO('MySQL:host=localhost;dbname=blog_test;charset=utf8mb4', 'root', '');
$username = 'ZyBlog1';
$password = '123456';
// 注冊(cè)
function register($username, $password)
{
global $pdo;
// 首先判斷用戶是否已注冊(cè)
$pre = $pdo->prepare("SELECT COUNT(id) FROM zyblog_test_user WHERE username = :username");
$pre->bindParam(':username', $username);
$pre->execute();
$result = $pre->fetchColumn();
// 如果用戶名存在,則無法注冊(cè)
if ($result > 0) {
echo '用戶名已注冊(cè)�!', PHP_EOL;
return 0;
}
// 生成salt
$salt = generateSalt();
// 密碼進(jìn)行加鹽hash處理
$password = generateHashPassword($password, $salt);
// 插入新用戶
$pre = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");
$pre->bindValue(1, $username);
$pre->bindValue(2, $password);
$pre->bindValue(3, $salt);
$pre->execute();
return $pdo->lastInsertId();
}
$userId = register($username, $password);
if ($userId > 0) {
echo '注冊(cè)成功!用戶ID為:' . $userId, PHP_EOL;
}
// 注冊(cè)成功����!用戶ID為:1
// 查詢數(shù)據(jù)庫(kù)中的數(shù)據(jù)
$sth = $pdo->prepare("SELECT * FROM zyblog_test_user");
$sth->execute();
$result = $sth->fetchAll(PDO::FETCH_ASSOC);
print_r($result);
// Array
// (
// [0] => Array
// (
// [id] => 1
// [username] => ZyBlog1
// [password] => bbff8283d0f90625015256b742b0e694
// [salt] => xOkb
// )
// )
// 登錄時(shí)驗(yàn)證
function login($username, $password)
{
global $pdo;
// 先根據(jù)用戶名查表
$pre = $pdo->prepare("SELECT * FROM zyblog_test_user WHERE username = :username");
$pre->bindParam(':username', $username);
$pre->execute();
$result = $pre->fetch(PDO::FETCH_ASSOC);
// 用戶名存在并獲得用戶信息后
if ($result) {
// 根據(jù)用戶表中的salt字段生成hash密碼
$password = generateHashPassword($password, $result['salt']);
// 比對(duì)hash密碼確認(rèn)登錄是否成功
if ($password == $result['password']) {
return true;
}
}
return false;
}
$isLogin = login($username, $password);
if ($isLogin) {
echo '登錄成功!', PHP_EOL;
} else {
echo '登錄失敗���,用戶名或密碼錯(cuò)誤��!', PHP_EOL;
}
// 登錄成功�!
“php怎么給密碼加鹽”的內(nèi)容就介紹到這里了���,感謝大家的閱讀�����。如果想了解更多行業(yè)相關(guān)的知識(shí)可以關(guān)注創(chuàng)新互聯(lián)網(wǎng)站����,小編將為大家輸出更多高質(zhì)量的實(shí)用文章!
重慶分公司
重慶分公司
