PHP的password_hash()使用实例 |
|
一、前言 复制代码 代码如下: string password_hash ( string $password , integer $algo [, array $options ]) 它有三个参数:密码、哈希算法、选项 。前两项为必须的 。 让我们使用password_hash()简单的创建一个哈希密码: 复制代码 代码如下: $pwd = "123456"; $hash = password_hash($pwd, PASSWORD_DEFAULT); echo $hash; 上例输出结果类似:$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2 并且刷新页面该哈希值也会不断的变化 。 哈希值创建完毕,我们可以用password_verify()来校验密码是否和哈希值匹配: 复制代码 代码如下: boolean password_verify ( string $password , string $hash )
它接收2个参数:密码和哈希值,并返回布尔值 。检查之前生成的哈希值是否和密码匹配: 复制代码 代码如下: if (password_verify($pwd,$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2)) {
echo "密码正确"; 基本上使用以上这2个函数就能安全的创建和校验hash密码了,还有另外2个API函数: 复制代码 代码如下: password_get_info() //查看哈希值的相关信息 password_needs_rehash() //检查一个hash值是否是使用特定算法及选项创建的 三、点评 虽然通过password_hash()创建的哈希密码更加安全,但是却降低了互操作性 。 如我们使用md5方式,在php中用标准的MD5加密,很容易通过其他语言来校验,如node.js: 复制代码 代码如下: var hash = crypto.createHash(md5).update("123456").digest(hex); if(hash == "e10adc3949ba59abbe56e057f20f883e") console.log(密码正确); 而使用password_hash()加密的哈希值基本只能通过PHP的password_verify来校验 。 这2种方法各有优劣,是使用md5(或sha1等)+salt(干扰字符串)的方式还是使用password_hash()大家根据具体情况取舍把 。 |
