本文目錄一覽:
Laravel 5.2 默認的密碼加密,怎麼加點鹽?
查看這部分的源代碼可得,
// Laravel 的 bcrypt 就是
$hash = password_hash($value, PASSWORD_BCRYPT, [‘cost’ = 10]);
因為 password_hash 使用的是 crypt 算法, 因此參與計算 hash值的:
算法(就像身份證開頭能知道省份一樣, 由鹽值的格式決定), cost(默認10) 和 鹽值 是在$hash中可以直接看出來的!
所以說, Laravel 中bcrypt的鹽值是PHP自動隨機生成的字符, 雖然同一個密碼每次計算的hash不一樣.
但是通過 $hash 和 密碼, 卻可以驗證密碼的正確性!
具體來說, 比如這個
$hash = password_hash(‘password’,PASSWORD_BCRYPT,[‘cost’ = 10]);
echo $hash;
// 比如我這次算的是
// $hash = ‘$2y$10$DyAJOutGjURG9xyKgAaCtOm4K1yezvgNkxHf6PhuLYBCENk61bePm’;
那麼我們從這個 crypt的hash值中可以看到,
因為以$2y$開頭, 所以它的算法是 CRYPT_BLOWFISH .
同時 CRYPT_BLOWFISH 算法鹽值格式規定是 :
以$2y$開頭 + 一個兩位cost參數 + $ + 22位隨機字符(“./0-9A-Za-z”)
$hash(CRYPT_BLOWFISH是固定60位) = 鹽值 + 31位單向加密後的值
怎麼搭建php服務器?
php服務器搭建有兩種方式
一種是linux+apache+mysql+php方式。
另外一種是windows+IIS+mysql+php方式。
還有一種方式,就是在windows模式下,用apache作為服務器。
這種情況。第一種配置較為複雜。而且一般作為服務器居多,個人電腦測試用,一般以windows為主。
所以下面的配置方式以windows7為例:
首先,你需要去下載php的原始文件,綠色版的,安裝版的均可。
1.將下載的php壓縮解壓。得到如下的目錄
、
2.添加IIS,windows7默認情況下是不安裝IIS的。
打開控制面板-程序和功能-打開或關閉windows功能。安裝好IIS後如下:
3,添加處理程序映射
請求路徑設為*.php,模塊選擇fastCgiModule。在windows+IIS模式下。fastCGI模式比傳統的isapi模式效率要高很多。
可執行文件選擇剛才解壓的目錄。文件類型選擇.exe,選擇對應的文件即可。下面的名稱可任意。
然後確定。重啟IIS。服務器就好了。另外所謂的MYSQL。直接下載安裝版的就行了。
PHP常用加密解密方法
作者/上善若水
1.md5(string $str,bool $flag = false);
$flag = false 默認返回32位的16進至數據散列值
$flag = true 返回原始流數據
2.sha1($string,$flag = false)
$flag = false 默認返回40位的16進至數據散列值
true 返回原始流數據
3.hash(string $algo,srting $str,bool $flag);
$algo : 算法名稱,可通過hash_algos()函數獲取所有hash加密的算法
如:md5,sha1等,採用md5,sha1加密所得結果和1,2兩種方式結 果相同。
$flag = false 默認返回16進至的數據散列值,具體長度根據算法不同
而不同。
true 返回原始流數據。
4.crypt(string $str,$string $salt);
函數返回使用 DES、Blowfish 或 MD5 算法加密的字符串。
具體算法依賴於PHP檢查之後支持的算法和$salt的格式和長度,當 然具體結果也和操作系統有關。比較結果採用 hash_equals($crypted,crypt($input,$salt));//且salt值相同
Password_verify($str,$crypted);
5.password_hash ( string $str, integer $algo [, array $options ] )
函數返回哈希加密後的密碼字符串, password_hash() 是crypt()的 一個簡單封裝
$algo : 算法 PASSWORD_DEFAULT ,PASSWORD_BCRYPT
$options = [
“cost”=10,//指明算法遞歸的層數,
“salt”=“xxadasdsad”//加密鹽值,即將被遺 棄,採用系統自動隨機生成安全性更高
];
使用的算法、cost 和鹽值作為哈希的一部分返回
Password_verify($str,$hashed);
6.base64_encode(string $str)
設計此種編碼是為了使二進制數據可以通過非純 8-bit 的傳輸層 傳輸,例如電子郵件的主體。base64_decode(string $encoded)
可以進行解碼;
7.mcrypt_encrypt ( string $cipher , string $key , string $data ,
string $mode [, string $iv ] )
mcrypt_decrypt ( string $cipher , string $key , string $crypted ,
string $mode [, string $iv ] )
$ciper:加密算法,mcrypt_list_algorithms()可以獲取該函數所有支持的算法
如MCRYPT_DES(“des”),MCRYPT_RIJNDAEL_128(“rijndael-128”);
$mode : 加密模式 ,mcrypt_list_modes()獲取所有支持的加密模式,ecb,cbc
$key: 加密的秘鑰,mcrypt_get_key_size ( string $cipher , string $mode )
獲取指定的算法和模式所需的密鑰長度。$key要滿足這個長度,如果長 度無效會報出警告。
$iv : 加密的初始向量,可通過mcrypt_create_iv ( int $size [, int $source = MCRYPT_DEV_URANDOM ] ),
Iv的參數size:
通過mcrypt_get_iv_size ( string $cipher , string $mode )獲取
Iv 的參數source:
初始向量數據來源。可選值有: MCRYPT_RAND (系統隨機數生成 器), MCRYPT_DEV_RANDOM (從 /dev/random 文件讀取數據) 和 MCRYPT_DEV_URANDOM (從 /dev/urandom 文件讀取數據)。 在 Windows 平台,PHP 5.3.0 之前的版本中,僅支持 MCRYPT_RAND。
請注意,在 PHP 5.6.0 之前的版本中, 此參數的默認值 為 MCRYPT_DEV_RANDOM。
Note: 需要注意的是,如果沒有更多可用的用來產生隨機數據的信息, 那麼 MCRYPT_DEV_RANDOM 可能進入阻塞狀態。
$data : 要加密的字符串數據
用php將密碼存入數據庫,用什麼方法進行加密?
題主你可以使用 md5 或者 sha1 進行初步處理,但為了更加安全,請你同時加上兩個 salt,一個靜態 salt,一個動態的 salt。以 md5 為例:
假設通過 POST 傳來的密碼為 $_POST[‘password’],在存入 DB 前先進行如下的操作:
$password = hash(‘md5’, $_POST[‘password’].$staticSalt.$dynamicSalt);
為了保證動態 salt 的唯一性,可以這樣操作:
$dynamicSalt = hash(‘md5’, microtime());
對於動態的 salt 可以與生成的密碼一起保存在 DB 中,而靜態 salt 則可以直接放在類文件中(例如定義為一個靜態屬性即可)。
首先謝謝題主採納了我的答案,但是我之前的回答並不是最佳答案,之所以有此加密的想法源於自己所讀的源碼可能比較老,所以並沒使用上較新版本的加密方法,例如 bcrypt等。
此外,第二點,感謝評論中幾位前輩的提點,已經明白設置靜態 salt 的意義並不大,生成一個較長的動態 salt 已然可以解決問題。
LZ應該採用加鹽HASH。
如何“腌制”密碼呢?
=_,=
正確的格式應該是,用戶password+動態的salt
動態的salt不能像2L所說的,使用microtime,因為時間在某些情況下不夠隨機,而且是可能被猜解的。
這裡推薦一個我用的加鹽HASH
$salt=base64_encode(mcrypt_create_iv(32,MCRYPT_DEV_RANDOM));
$password=sha1($register_password.$salt);
解釋:
首先使用mcrypt,產生電腦隨機生成的,專門用戶加密的隨機數函數。
第二步,把得到的隨機數通過base64加密,使其變長並且不利於猜解。
第三步,把得出的鹽拼接到密碼的後面,再對其使用sha1進行哈希
再把password存入到用戶的數據庫。
PS:為何不用靜態的salt?沒有必要,使用一個動態隨機足夠長的鹽足矣。
為何不用MD5?因為長度不夠。
為何沒有使用多次HASH?因為這樣反而容易發生碰撞。
HASH好之後怎麼使用“腌制”好的密碼?
用戶註冊-提交密碼-產生salt-腌制好的密碼存入數據庫-salt存入數據庫。
用戶登錄-提交密碼-調用salt接到提交密碼的後面-進行HASH-調用之前註冊腌制好的密碼-對比HASH值是否和這個密碼相同
原創文章,作者:ZO78T,如若轉載,請註明出處:https://www.506064.com/zh-hant/n/127794.html
微信掃一掃 
支付寶掃一掃 