迹忆客 专注技术分享

PHP 用于服务器端开发，在构建登录和注册过程时需要密码。出于安全目的和隐私问题，我们需要对我们的密码进行哈希处理，这样任何人（包括你和你的数据库管理员）都无法知道用户的密码。

但是，当我们对密码进行哈希处理时，当我们想登录时，我们需要对其进行重新哈希处理。本文详细介绍了密码哈希处理以及如何使用 PHP 内置函数 password_hash() 和 password_verify() .

PHP 中的密码哈希

从用户那里收集的数据存储在数据库中，任何有权访问数据库的人都可以看到这些数据。用户名和地址通常保持原样；它们不如你帐户的密钥重要。

作为用户密码的文本字符串通过散列算法（bcrypt、md5、sha-1、sha-2）传递，以防止按原样保存密码并创建文本的加扰表示。密码的这个加扰表示被存储，并且在登录过程中，加扰表示被比较。

内置的 password_hash() 函数使用 bcrypt 算法，这是 Auth0 推荐的 并用于其客户群。此外，password_verify() 函数将密码文本与哈希值进行比较，并在密码与哈希值匹配时返回布尔值。

在 PHP 中使用 password_hash() 和 password_verify() 进行密码散列

当用户访问你的站点并创建一个新帐户时，作为 PHP 开发人员，你将确保你的应用程序对密码进行哈希处理。为此，我们应用 password_hash() 函数。

<?php

$password = "24FE21121@1*?"; // password the user imputs.
echo password_hash($password, PASSWORD_DEFAULT); // outputs the hashed password

?>

代码片段的输出是：

$2y$10$YRmyqWGiHbDSI31XbD2DuOzmTKSjYSSgR.2.3rYCmSSFS/xlAtb3.

代码片段使用默认散列算法，根据 PHP 文档，该算法使用 bcrypt 算法。如果我们打算改变散列算法，我们可以改变函数的第二个参数。

我们可以使用其他三个可能的参数（散列算法）。PASSWORD_BCRYPT、PASSWORD_ARGON2I 和 PASSWORD_ARGON2ID 是支持的参数。

PASSWORD_BCRYPT 使用 CRYPT_BLOWFISH 算法，PASSWORD_ARGON2I 使用 Argon2i 散列算法，而 PASSWORD_ARGON2ID 使用 Argon2id 散列算法。要更好地了解每种算法的工作原理，请查看 PHP 密码哈希文档。

让我们在我们的代码中尝试 PASSWORD_BCRYPT 参数。

<?php

$password = "24FE21121@1*?"; // password the user imputs.
echo password_hash($password, PASSWORD_DEFAULT); // outputs the hashed password

?>

代码片段的输出是：

$2y$10$vNfovWay8hSq5ixa/lOPK.4YMVX1kgYCBPDEdvz3zM/EBUiBUukpO

PASSWORD_DEFAULT 和 PASSWORD_BCRYPT 都使用 $2y$ 标识符，并将生成 60 个字符的字符串。通过上述过程，我们成功地对用户的密码进行了哈希处理。

现在，如果用户想登录他的帐户，我们需要将他们输入的密码与散列密码进行比较。这就是 password_verify() 发挥作用的地方。

我们可以将密码和存储的哈希密码与内置函数进行比较。

<?php

$password = "24FE21121@1*?";
$hashed_password ='$2y$10$YRmyqWGiHbDSI31XbD2DuOzmTKSjYSSgR.2.3rYCmSSFS/xlAtb3.';

print_r(password_verify($password, $hashed_password));

?>

代码片段的输出是：

1

在 PHP 中，1 代表真，0 代表假。

让我们对由 PASSWORD_BCRYPT 参数生成的散列密码尝试 password_verify() 函数。

<?php

$password = "24FE21121@1*?";
$hashed_password = '$2y$10$vNfovWay8hSq5ixa/lOPK.4YMVX1kgYCBPDEdvz3zM/EBUiBUukpO';

print_r(password_verify($password, $hashed_password));

?>

代码片段的输出是：

1

无论我们使用什么散列密码，password_verify() 函数都可以工作的原因是因为该函数验证与 crypt() 兼容的给定散列匹配，两者兼而有之。此外，这些函数将算法、成本和盐作为返回哈希的一部分返回，并且可以安全地抵御计时攻击。

要改善你的哈希结果，请在 password_hash() 函数中指定成本和盐选项。但是，如果你不了解如何使用它，它会极大地影响你的安全。

要检查 password_verify() 函数是否会捕获错误密码，让我们输入一个错误密码（从 24FE21121@1*? 更改为 24Fqqw1121@1*?）。

<?php

$password = "24Fqqw1121@1*?";
$hashed_password = '$2y$10$vNfovWay8hSq5ixa/lOPK.4YMVX1kgYCBPDEdvz3zM/EBUiBUukpO';

if (password_verify($password, $hashed_password)) {
    echo "Password Matches!";
} else {
    echo "Wrong Password";
}

?>

代码片段的输出是：

Wrong Password

如果我们在实际登录过程的上下文中使用它，代码可能如下所示：

<?php
$connect = mysqli_connect($localhost, $username, $password, $database);

if (isset($_POST['submit'])) {
    extract($_POST);

    // retrive stored hashed password
    $sqlQuery = mysqli_query($connect, "SELECT * FROM USERTABLE WHERE USER='$username'");
    $fetch = mysqli_fetch_array($sqlQuery);
    $currentPassword = $fetch['hashPassword'];

    if (password_verify($enteredPassword, $currentPassword)) {
        // password matches
        $_SESSION['id'] = $fetch['id'];
        header("location: home.php");
    } else {
        // password doesn't match
        $output = "Wrong Passworfd";
    }
}