PHP處理密碼的幾種方式

在 php中，經常會對使用者身份進行認證。本文意在討論對密碼的處理，也就是對密碼的加密處理。

1.md5

相信很多php開發者在最先接觸php的時候，處理密碼的首選加密函式可能就是md5了，我當時就是這樣的：

1$password$_post["password"]);

上面這段**是不是很熟悉？然而md5的加密方式目前已經不太安全了，因為它的加密演算法實在是顯得有點簡單了，而且很多破解密碼的站點都存放了很多經過md5加密的密碼字串，所以這裡我是非常不提倡還在單單使用md5來加密使用者的密碼的。

2.sha256 和 sha512

其實跟前面的md5同期的還有乙個sha1加密方式的，不過也是演算法比較簡單，所以這裡就不介紹了。而這裡即將要說到的sha256 和 sha512都是來自於sha2家族的加密函式，看名字可能你就猜的出來了，這兩個加密方式分別生成256和512位元長度的 hash字串。

他們的使用方法如下：

1$password"sha256"$password);

php內建了hash()函式，你只需要將加密方式傳給hash()函式就好了。你可以直接指明sha256, sha512, md5, sha1等加密方式。

鹽值

在加密的過程，我們還有乙個非常常見的東西：鹽值。對，我們在加密的時候其實會給加密的字串新增乙個額外的字串，以達到提高一定安全的目的，並且鹽值要記錄下來，方便以後的比對：12

345function$password)

3.bcrypt

bcrypt不失為一種比較不錯的加密方式了，但是後面介紹的 hashing api更好。12

3456

function$password)

}

bcrypt 其實就是blowfish和crypt()函式的結合，我們這裡通過crypt_blowfish判斷blowfish是否可用，然後像上面一樣生成乙個鹽值，不過這裡需要注意的是，crypt()的鹽值必須以 $2a$ 或者 $2y$ 開頭。

4.password hashing api

這裡才是我們的重頭戲，password hashing api是php 5.5之後才有的新特性，它主要是提供下面幾個函式供我們使用：12

34//對密碼加密.

//驗證已經加密的密碼，檢驗其hash字串是否一致.

//給密碼重新加密.

//返回加密演算法的名稱和一些相關資訊.

使用這套 api不僅簡單，而且更加安全，這也是 php官方推薦的加密方式。

1$hash$passwod, password_default);

password_default目前使用的就是bcrypt加密演算法，這裡需要注意的是，如果你**使用的都是password_default加密方式，那麼在資料庫的表中，password欄位就得設定超過60個字元長度，你也可以使用password_bcrypt演算法，該演算法加密後的字串長度總為60。

這裡使用 password_hash()你完全可以不提供鹽值(salt)和消耗值 (cost)，你可以將後者理解為一種效能的消耗值，cost越大，加密演算法越複雜，消耗的記憶體也就越大。當然，如果你需要指定對應的鹽值和消耗值，你可以這樣寫：12

345$options

'salt'//自定義函式來獲得鹽值

'cost'// the default cost is 10

];

$hash$password, password_default,$options);

不過一般自定義 cost就好了， salt值則使用預設的。

加密好後，只需要簡單的使用即可驗證密碼是否正確12

3456

7<?php

if$password$hash))

else

// invalid

}

直接使用password_verify就可以對我們之前加密過的字串（存在資料庫中）進行驗證了。

如果要更換更改加密的方式，則必須使用以下**來重新加密：12

3456

if$hash, password_default, ['cost'=> 12]))

只有這樣，php的 password hashing api才會知道我們重現更換了加密方式，這樣才能完成之後的密碼驗證。

password_get_info()，這個函式一般可以看到下面三個資訊：

1、algo – 演算法例項

2、algoname – 演算法名字

3、options – 加密時候的可選引數

PHP處理密碼的幾種方式

詳解PHP處理密碼的幾種方式

PHP中快速生成隨機密碼的幾種方式

MYSQL修改密碼的幾種方式

PHP處理密碼的幾種方式

詳解PHP處理密碼的幾種方式

PHP中快速生成隨機密碼的幾種方式

MYSQL修改密碼的幾種方式

相關推薦