PHP密码加密存储教程_PHP安全保存用户密码方法-php教程-PHP中文网

PHP密码加密存储教程_PHP安全保存用户密码方法

冰川箭仙

发布： 2025-12-16 15:45:09

原创

105人浏览过

PHP安全存储密码应使用password_hash()和password_verify()函数，它们自动加盐、选算法（默认bcrypt或Argon2）、抗暴力破解；禁用md5/sha1等弱哈希及手动拼接salt。

php密码加密存储教程_php安全保存用户密码方法

PHP中安全存储用户密码，核心是不加密，而用强哈希加盐（现代已由PHP自动处理）。别再用md5、sha1或自己写salt拼接——这些早已不安全。PHP自5.5起内置password_hash()和password_verify()，简单、可靠、抗暴力、向前兼容。

用 password_hash() 生成安全哈希

它默认使用bcrypt算法（可选argon2i/argon2id），自动随机加盐、控制迭代次数，无需手动管理salt：

直接传入明文密码，一行生成哈希值：
php
$hash = password_hash("user_password123", PASSWORD_DEFAULT);
// 输出类似：$2y$10$9xZzQvLmRbGkEaFtJcNpOeUfDgHiJkLmNoPqRsTuVwXyZaBcDeFgH
PASSWORD_DEFAULT未来可能升级算法，生成的哈希包含版本标识，password_verify()能自动识别并验证
如需固定算法（如部署环境限制），可用PASSWORD_ARGON2ID（PHP 7.2+），但确保系统支持libargon2

用 password_verify() 校验登录密码

登录时，拿用户提交的明文密码 + 数据库里存的完整哈希值，交给它判断真假：

代码极简：
$hash = "数据库查出的哈希字符串";
if (password_verify($_POST['password'], $hash)) {
echo "登录成功";
} else {
echo "密码错误";
}
它会自动提取哈希里的salt、算法、成本参数，重做一遍哈希比对，完全屏蔽实现细节
即使哈希格式升级（如从bcrypt切到argon2），只要用PASSWORD_DEFAULT生成，老哈希仍能被新PHP正确验证

必要时重哈希旧密码（平滑升级）

如果老系统用了md5或弱哈希，可在用户下次登录时悄悄升级：

中国工商网电子商务购物中心系统EMall

完全公开源代码，并无任何许可限制特别基于大型电子商务网站的系统开发 Microsoft SQL Server 2000后台数据库，充分应用了存储过程的巨大功效基于类模块的扩展数据访问能力支持任何类型的大型数据库加密用户登录信息(cookie) 易于安装的系统和应用功能 100%的asp.net的代码，没有COM，java或者其他的格式完全基于MS建议的系统安全设计最佳的应用程序,数据库

查看详情

立即学习“PHP免费学习笔记（深入）”；

先用旧方式验证；验证通过后，立即用password_hash()生成新哈希，更新数据库
加个判断避免重复操作：
if (password_needs_rehash($oldHash, PASSWORD_DEFAULT)) {
$newHash = password_hash($password, PASSWORD_DEFAULT);
// 存入数据库
}
这样不用强制全量重置密码，用户体验无感，安全逐步提升