使用password_hash()生成安全哈希,推荐默认算法并保存至数据库;登录时用password_verify()校验;通过password_needs_rehash()适时升级哈希强度;合理设置cost参数平衡安全与性能。
如果您需要对用户密码或其他敏感字符串进行安全的哈希处理,PHP 提供了内置函数来防止常见的安全漏洞。直接存储明文密码是严重安全隐患,必须使用强哈希机制保护数据。以下是使用 password_hash() 函数进行安全哈希的最佳实践步骤:
一、使用 password_hash() 生成安全哈希
该函数利用 bcrypt 算法(默认)自动生成盐值(salt),避免开发者手动管理盐带来的风险。它能有效抵御彩虹表和暴力破解攻击。
1、调用 password_hash() 函数,传入原始密码和哈希算法常量。
2、推荐使用默认的 PASSWORD_DEFAULT 或明确指定 PASSWORD_BCRYPT。
立即学习“PHP免费学习笔记(深入)”;
3、示例代码:$hash = password_hash($password, PASSWORD_DEFAULT);
4、将生成的哈希字符串完整保存至数据库,长度应支持至少 255 字符的字段。
二、验证哈希密码使用 password_verify()
在用户登录时,不能解密哈希值,而应使用 password_verify() 对输入密码重新哈希并与存储的哈希比对。
1、从数据库中取出对应用户的哈希值。
2、调用 password_verify($inputPassword, $storedHash) 进行校验。
3、该函数会自动提取哈希中的盐并执行相同算法,返回布尔值表示是否匹配。
4、示例:if (password_verify($password, $hash)) { }
TapNow 新一代AI视觉创作引擎
115 查看详情 
三、定期更新哈希强度使用 password_needs_rehash()
当系统配置变更(如提高 cost 参数)或用户再次登录时,可检测当前哈希是否符合新标准,并自动重新哈希。
1、在验证密码后,检查是否需要重新哈希。
2、使用 password_needs_rehash($storedHash, PASSWORD_DEFAULT, ['cost' => 12]) 判断。
3、若返回 true,则用新参数重新执行 password_hash() 并更新数据库中的哈希值。
4、这确保旧密码逐步升级到更强的安全级别。
四、配置适当的哈希成本参数
cost 参数决定哈希计算的资源消耗,越高越难被暴力破解,但也影响服务器性能。需在安全与性能间平衡。
1、通过 options 数组设置 cost 值,例如:['cost' => 12]。
2、建议初始值设为 10-12,根据服务器能力测试调整。
3、测试执行时间:运行哈希操作确认单次耗时在可接受范围(如 50-100ms)。
4、设置方式:$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
以上就是PHP如何安全地对字符串进行哈希加密_password_hash函数最佳实践的详细内容,更多请关注php中文网其它相关文章!
