在我开始之前,我想再次提出这个问题而道歉,正如许多用户所做的那样,但是通过我做过的研究,我对我发现的内容并不满意。我只希望在这里提出一些非常有用的东西。
由于md5或sha1被认为是不好的做法(即使使用salt ???),我也试图创建这个函数来哈希我的密码
$password = $_POST['password']; // lets say that my password is: my_sercretp@ssword123
function encrypt_the_password($password){
$salt = "lorem_ipsumd0l0rs1t@m3tc0ns3ct3tur@d1p1sc1ng3lit";
return hash('sha256', $salt.$password);// can use also different algorithm like sha512 or whirlpool
}
$hashed_password = encrypt_the_password($password);
请注意,我在个人网站上使用它,只有一个用户,我。如果有多个用户,我会想出这样的事情:
$password = $_POST['password'];
function generate_salt() {
$salt = uniqid(md5("lorem_ipsumd0l0rs1t@m3tc0ns3ct3tur@d1p1sc1ng3lit".microtime()));
$salt = hash('sha256', $salt);// can use also different algorithm like sha512 or whirlpool
return $salt;
}
function encrypt_the_password($password,$salt){
return hash('sha256', $salt.$password);// can use also different algorithm like sha512 or whirlpool
}
$hashed_password = encrypt_the_password($password,generate_salt());
这是否足够安全(在每种情况下)或者这可以改善更多???
MY EDIT:我尝试使用crypt()函数提出一些新内容。这是我的代码,如果网站只有一个用户,admin:
$password = $_POST['password'];
$salt = "L0r3mIpsUmD0l0rS1tAm3t";
$hashed_password = crypt($password', '$2a$12$' . $salt);
如果网站包含多个用户:
$password = $_POST['password'];
function generate_salt() {
$salt = uniqid(sha1("L0r3mIpsUmD0l0rS1tAm3tc0ns3CT3tur4d1p1sc1ng3lit".microtime()));
$salt = substr(sha1($salt), 0, 22);
return $salt;
}
$hashed_password = crypt($password', '$2a$12$' . generate_salt());
这样可以还是需要改进?
答案 0 :(得分:6)
通过不编写自己的算法来改进它。您的算法是不安全的,因为您的salt是常量,并且您只使用SHA256的一次迭代进行散列,这在计算上很便宜。
相反,请使用Bcrypt,这在计算上既昂贵又由知道自己正在做什么的人验证,所以它比你的解决方案更安全。
答案 1 :(得分:3)
您应该使用PHP 5.5中内置的密码功能。 ircmaxell提供了一个回退库,可以在早期版本的PHP中提供函数:https://github.com/ircmaxell/password_compat
它将始终使用最新的哈希技术,以防万一甚至为您更新记录。请务必阅读此库附带的自述文件。
不要制作自己的散列函数。