這篇文章主要介紹了PHP的password_hash()使用實例,需要的朋友可以參考下

一、前言

PHP5.5提供了許多新特性及Api函數(shù)，其中之一就是Password Hashing API(創(chuàng)建和校驗哈希密碼)。

它包含4個函數(shù)：password_get_info()、password_hash()、password_needs_rehash()、password_verify()。

在PHP5.5之前，我們對于密碼的加密可能更多的是采用md5或sha1之類的加密方式(沒人像CSDN那樣存明文吧。。)，如：

echo md5("123456"); //輸出： e10adc3949ba59abbe56e057f20f883e

但是簡單的md5加密很容易通過字典的方式進(jìn)行破解，隨便找個md5解密的網(wǎng)站就能獲取原始密碼。

二、Password Hashing API

php5.5提供的Password Hashing API就能很好的解決這些問題。

我們先來看password_hash()函數(shù)：

代碼如下:string password_hash ( string $password , integer $algo [, array $options ])

它有三個參數(shù)：密碼、哈希算法、選項。前兩項為必須的。

讓我們使用password_hash()簡單的創(chuàng)建一個哈希密碼：

復(fù)制代碼 代碼如下:$pwd = "123456";

$hash = password_hash($pwd, PASSWORD_DEFAULT);

echo $hash;

上例輸出結(jié)果類似：$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2

并且刷新頁面該哈希值也會不斷的變化。

哈希值創(chuàng)建完畢，我們可以用password_verify()來校驗密碼是否和哈希值匹配：

復(fù)制代碼 代碼如下:boolean password_verify ( string $password , string $hash )

它接收2個參數(shù)：密碼和哈希值，并返回布爾值。檢查之前生成的哈希值是否和密碼匹配：

代碼如下:if (password_verify($pwd,'$2y$10$4kAu4FNGuolmRmSSHgKEMe3DbG5pm3diikFkiAKNh.Sf1tPbB4uo2')) {

echo "密碼正確";

} else {

echo "密碼錯誤";

}

基本上使用以上這2個函數(shù)就能安全的創(chuàng)建和校驗hash密碼了，還有另外2個API函數(shù)：

代碼如下:password_get_info() //查看哈希值的相關(guān)信息

password_needs_rehash() //檢查一個hash值是否是使用特定算法及選項創(chuàng)建的

三、點評

雖然通過password_hash()創(chuàng)建的哈希密碼更加安全，但是卻降低了互操作性。

如我們使用md5方式，在php中用標(biāo)準(zhǔn)的MD5加密，很容易通過其他語言來校驗，如node.js：

復(fù)制代碼 代碼如下:var hash = crypto.createHash('md5').update("123456").digest('hex');

if(hash == "e10adc3949ba59abbe56e057f20f883e") console.log('密碼正確');

而使用password_hash()加密的哈希值基本只能通過PHP的password_verify來校驗。

這2種方法各有優(yōu)劣，是使用md5(或sha1等)+salt(干擾字符串)的方式還是使用password_hash()大家根據(jù)具體情況取舍把。

更多信息請查看IT技術(shù)專欄