应使用php的password_hash()和password_verify()函数进行密码哈希与验证,优先采用默认bcrypt算法;可自定义cost因子(10–12);旧系统需在用户登录时渐进迁移至新哈希;严禁使用md5、sha1等不安全函数。
在PHP应用中存储用户密码时,若直接明文保存或使用弱哈希算法,将导致严重的安全风险。以下是几种符合现代安全标准的密码加密实践方案:
一、使用password_hash()和password_verify()函数
PHP内置的password_hash()函数默认采用bcrypt算法,并自动处理盐值生成与哈希轮数,是当前推荐的最简且最安全的密码哈希方式。该函数生成的哈希字符串包含算法标识、成本因子和盐值,可直接存储于数据库。
1、调用password_hash()对原始密码进行哈希处理,参数使用PASSWORD_DEFAULT常量。
2、将返回的哈希字符串(如"$2y$10$...")完整存入数据库password字段。
立即学习“PHP免费学习笔记(深入)”;
3、用户登录时,使用password_verify()将输入密码与数据库中存储的哈希值比对。
4、验证结果为布尔值,true表示密码正确,false表示失败。
二、显式指定bcrypt并自定义成本因子
当需控制哈希计算强度以平衡安全性与服务器负载时,可显式选择bcrypt算法并设定cost参数。默认cost为10,每增加1,计算耗时约翻倍;建议取值范围为10–12。
1、构造$options数组,键名为'cost',值设为整数(例如11)。
2、调用password_hash($password, PASSWORD_BCRYPT, $options)生成哈希。
3、检查返回值是否为string类型,若返回false则说明参数非法或系统不支持。
Ke361是一个开源的淘宝客系统,基于最新的ThinkPHP3.2版本开发,提供更方便、更安全的WEB应用开发体验,采用了全新的架构设计和命名空间机制, 融合了模块化、驱动化和插件化的设计理念于一体,以帮助想做淘宝客而技术水平不高的朋友。突破了传统淘宝客程序对自动采集商品收费的模式,该程序的自动 采集模块对于所有人开放,代码不加密,方便大家修改。集成淘点金组件,自动转换淘宝链接为淘宝客推广链接。K
4、将哈希结果持久化,后续仍须使用password_verify()校验,不可自行解析哈希结构。
三、迁移旧哈希至新算法的渐进升级策略
对于已使用md5、sha1或未加盐hash的老系统,无法一次性重置所有用户密码,需在用户下次成功登录时,用新算法重新哈希其明文密码并更新数据库记录。
1、验证用户提交的密码是否能通过旧哈希逻辑(如md5($password))匹配数据库值。
2、若验证通过,立即调用password_hash($password, PASSWORD_DEFAULT)生成新哈希。
3、将新哈希写入数据库对应用户的password字段。
4、此后该用户密码即受现代算法保护,旧哈希记录被完全替换。
四、避免使用已淘汰的加密方式
md5()、sha1()、crypt()(无盐)、base64_encode()等函数不具备抗碰撞、抗暴力破解能力,且不包含随机盐值,极易被彩虹表或GPU爆破攻破,严禁用于密码保护场景。
1、检查代码中是否存在直接调用md5($password)或sha1($password)的语句。
2、确认crypt()调用是否传入了由crypt_get_salt()生成的有效盐值,否则视为无效。
3、删除所有对password字段进行base64、urlencode或简单异或操作的逻辑。
4、任何未使用随机盐+自适应哈希的方案均应立即停用。
