使用PHP怎么实现散列密码的安全性-创新互联

使用PHP怎么实现散列密码的安全性？针对这个问题，这篇文章详细介绍了相对应的分析和解答，希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。

目前成都创新互联已为成百上千的企业提供了网站建设、域名、网络空间、网站改版维护、企业网站设计、乌鲁木齐网站维护等服务，公司将坚持客户导向、应用为本的策略，正道将秉承"和谐、参与、激情"的文化，与客户和合作伙伴齐心协力一起成长，共同发展。

很多应用，都是将用户的密码都是直接通过md5加密直接存储到数据库中的，包括我最近在用的开源项目zabbix的web管理界面。

$password = "1234";
$hash = md5($password);
echo $res;

php常用的哈希函数有md5和sha1，这种哈希之后，一般是不可逆的，但是可以重现，也就是说同样的明文，哈希之后的结果是一样的，对于一些简单的明文，是可以通过遍历，然后对照加密之后的密文得到明文的。

网上有流传的“彩虹表”，就是遍历的到的一个非常大的数据库，存储了明文和密文的对照关系，通过查询就能得到密文对应的明文。

/tupian/20230522/>$password = "1234"; $salt = "s@jn#.sK_jF3;gg*&"; $hash = md5($password.$salt); echo $res;

同样的明文“1234”，加了一个比较复杂的“盐”之后，再进行加密，解密的难度就增加了不少，在上面的解密网站是就不能被解密出来了（最起码不付钱是解密不出来的，哈哈哈）。

上面我们对所有的密码都使用的同样的盐，这中方式是不大安全的。比如，张三和李四的密码是一样的，则存储在数据库中的密文也是一样的，这无疑让黑客更容易破解了。

更常使用的方式，是对于不同的用户使用不同的盐进行加密，在用户的注册过程中，生成用户对应的盐，然后进行存储；在用户登录时，取出盐用于加密操作，盐和用户id一一对应。

可以使用php自带的random_bytes生成一定长度的盐

$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;

关于盐的存储

可以将盐和密文一起存在数据库的用户信息表中，优点是数据库查询取出密码的同时也可以取出盐，进行加密比对操作，一次数据查询就可以搞定，缺点是安全性差，如果黑客“脱裤”成功，则获取密文的同时也获取了对应的盐。

更好的方案是将盐和密文分开存储，比如密文存储在mysql数据库中，盐存储在redis服务器中，这样即使黑客“脱裤”拿到了数据库中的密文，也需要再进一步拿到对应的盐才能进一步破解，安全性更好，不过这样需要进行二次查询，即每次登陆都需要从redis中取出对应的盐，牺牲了一定的性能，提高了安全性。

php5.5中更加安全的解决方案

说php是专为为web设计的语言一点也没错，应该是php开发者也注意到了这个密码保存的问题。

于是php5.5开始，就设计了password_hashing模块，用于密码的哈希和验证。

http://php.net/manual/zh/book.password.php

使用password_hash进行哈希，使用的算法、cost 和盐值作为哈希的一部分返回，所以不用单独保存salt的值，因为它每次都会自己生成salt，所以优点就是“每次加密的结果都不一样”，但是可以放心，加密结果包含了salt信息，password_verify可以正确解析。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);

哈希之后的结果，只能使用password_verify进行验证，因此验证密码的功能只能由php语言来实现。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash);  //验证结果为true

优缺点分析

优点是安全性很高，即使被脱裤，也很难将密文解密，因为同一个密文，每次加密的结果都不一样，所以没法撞库！

password_hash实际上是对crypt和salt的封装，crypt加密比普通的md5和sha1更加复杂，所以耗时也更加多一些，这可以算是一个缺点，对于用户量很大，经常需要进行登录操作的站点，可能会有性能上的影响。还有一点是通用性不强，因为这种方式只适用于php语言，其他语言是没有办法对密文进行操作的。

刚才测试了一下password_hash的性能，吓的半死。。

md5.php

>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i<100;$i++){
  $res = md5($password);
}
$etime = microtime(true);
echo "stime:$stime
";
echo "etime:$etime
";
echo "cost:".($etime-$stime);

运行结果：

stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348

password_hash.php

";
echo "etime:$etime
";
echo "cost:".($etime-$stime);

运行结果：

stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424

关于使用PHP怎么实现散列密码的安全性问题的解答就分享到这里了，希望以上内容可以对大家有一定的帮助，如果你还有很多疑惑没有解开，可以关注创新互联行业资讯频道了解更多相关知识。

文章名称：使用PHP怎么实现散列密码的安全性-创新互联
本文地址：http://cdkjz.cn/article/ddscoe.html