假设我想为用户存储密码,这是使用PHP 5.5的password_hash()功能(或针对PHP 5.3.7+的该版本:https : //github.com/ircmaxell/password_compat)的正确方法吗?
password_hash()
$options = array("cost" => 10, "salt" => uniqid()); $hash = password_hash($password, PASSWORD_BCRYPT, $options);
然后我会做:
mysql_query("INSERT INTO users(username,password, salt) VALUES($username, $hash, " . $options['salt']);
插入数据库。
然后进行验证:
$row = mysql_fetch_assoc(mysql_query("SELECT salt FROM users WHERE id=$userid")); $salt = $row["salt"]; $hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 10, "salt" => $salt)); if (password_verify($password, $hash) { // Verified }
现在忽略数据库语句的问题,我将回答有关的问题password_hash。
password_hash
简而言之,不,这不是您的方式。您不想单独存储盐,应该同时存储哈希和盐,然后使用两者来验证密码。password_hash返回包含两者的字符串。
该password_hash函数返回一个既包含哈希又包含salt的字符串。所以:
$hashAndSalt = password_hash($password, PASSWORD_BCRYPT); // Insert $hashAndSalt into database against user
// Fetch hash+salt from database, place in $hashAndSalt variable // and then to verify $password: if (password_verify($password, $hashAndSalt)) { // Verified }
另外,正如评论所建议的那样,如果您对安全性感兴趣,则可能要看一下mysqli(ext/mysqlPHP5.5中已弃用),以及有关SQL注入的这篇文章:http ://php.net/manual/en/security .database.sql- injection.php
mysqli
ext/mysql
