PHP安全性sha2:& $ salt = null?

时间:2010-10-10 02:25:52

标签: php security function sha2

我现在正在研究并在网上寻求帮助之后创建一个sha2登录表单,我发现下面这个链接的示例代码非常有用和实用(我希望我是对的!??),我唯一不喜欢的东西我不明白这个程序员编写函数的方式并从函数中获取salt值。

http://hungred.com/useful-information/php-better-hashing-password/ 

define('SALT_LENGTH', 15);

function HashMe($phrase, &$salt = null)
{
    $pepper = '!@#$%^&*()_+=-{}][;";/?<>.,';

    if ($salt == '')
    {
        $salt = substr(hash('sha512',uniqid(rand(), true).$pepper.microtime()), 0, SALT_LENGTH);
    }
    else
    {
        $salt = substr($salt, 0, SALT_LENGTH);
    }

    return hash('sha512',$salt . $pepper .  $phrase);
}

如果我将功能更改为此有什么区别?

function HashMe($phrase, $salt)  {..}

当然这个功能会失败,有什么'&amp;' $ salt之前?是否有必要像这样'null'&amp; $ salt = null?如果我把'&amp; $ salt'怎么办?

然后,为了得到salt值,你可以直接得到它,并把它像下面的SQL查询一样,

$username = cleanMe($_POST('username'));
$password = cleanMe($_POST('password'));
$salt = '';
$hashed_password = HashMe($password, $salt);
$sqlquery = 'INSERT INTO  `usertable` ("username", "password", "salt") VALUES  ("'.$username.'", "'.$hashed_password .'", "'.$salt.'") WHERE 1';
..

如何在准备sql查询之前从下面的函数中获取salt值,

$salt = "'".salt."'";
$username = "'".$username."'";
$hashed_password = "'".$hashed_password."'";

然后,

$sqlquery = 'INSERT INTO  `usertable` ("username", "password", "salt") VALUES  ($username, $hashed_password, $salt) WHERE 1';

我不喜欢/想要这个的原因 - 我的SQL查询中的“'”是我有时候像$ firstname ='NULL'那样有空值;如果firstname为空/ null,我希望行将空字段“勾选”为null。

此外,在我的SQL查询中使用“'”,让我头晕目眩并且在出现问题时难以调试...

抱歉,我在这个主题中有很多问题!

感谢。

1 个答案:

答案 0 :(得分:5)

让我们看看我是否可以一次回答一个问题。

首先,您询问为什么function HashMe($phrase, $salt)失败,而function HashMe($phrase,&$salt = null)没有失败。在解释第二部分和第三部分之后,这将变得清晰。

其次,你问为什么你需要&amp;在函数声明中$salt之前。和&amp;意思是您通过引用传递值 。通常,当您将值传递给函数时,会创建该值的副本,并且您可以处理该副本。例如:

function addOne($number){
    $number = $number + 1;
}

$myNumber = 3;
addOne($myNumber);
echo $myNumber;

此代码将输出3,而不是4。这是因为该函数不会更改$ myNumber,它会创建它的副本并更改该副本。当您通过引用传递时,您告诉它使用原始数字而不是创建副本。因此,如果我们做出这种微小的改变:

function addOne(&$number){
    $number = $number + 1;
}

$myNumber = 3;
addOne($myNumber);
echo $myNumber;

现在我们的代码输出4。该函数通过引用传递$ salt,因为它更改了$ salt的值。因此,在函数运行后,您现在拥有$ salt的新值。

至于为什么你需要&$salt = null,如果你不自己声明它,那就是自动声明变量。因此,如果您只想生成随机哈希(无法重新创建它,因为您不知道使用了什么盐),您只需使用HashMe("message to hash");调用该函数即可。 = null表示如果没有第二个参数,则自动将第二个参数设置为“null”。然而,在代码的后面,它说如果第二个参数为“null”,则生成一个随机盐:

if ($salt == '')
{
    $salt = substr(hash('sha512',uniqid(rand(), true).$pepper.microtime()), 0, SALT_LENGTH);
}

因此,如果以这种方式调用函数,您将创建一个您可能永远无法再现的哈希。

对于第四个问题,您希望获得$ salt的值以用于SQL查询。这是通过引用传递的美丽。因为变量$ salt是通过引用传递的,所以在函数运行之后你可以再次使用$ salt并且它将具有新值。需要注意的一件重要事情是,更改 $ salt的所有功能都确保它的长度为15个字符。任何更长的东西都会被截断,但任何更短的东西都会保持不变。因此,如果存储函数返回的(15个字符)salt,将来可以使用它,它不会再次更改salt。所以你的SQL查询应该可以正常工作。

$sqlquery = "INSERT INTO  `usertable` ('username', 'password', 'salt') VALUES  ($username, $hashed_password, $salt) WHERE 1";

请注意,我从原始查询中交换了双引号和单引号。这是因为在某些版本的PHP中,变量不会用单引号进行解析。例如:

$secret = "Hello, there";
echo '$secret'; // "$secret"
echo "$secret"; // "Hello, there"
相关问题
最新问题