Question

我知道sha1（）不安全，但我的客户网站使用这样的方法来哈希密码：

$salt = '123abckkk';
$hash = sha1($salt.$password);

现在我猜测如果有人闯入数据库并窃取哈希值，那么他们将无法破解它们，因为没有任何哈希值来自常用词，因为他们有'123abckkk'混合在它。

不确定这是否有效，但如果这不是一种安全方法，那么请告诉我原因。

Answer 1

You should not use md5 or sha1 to hash passwords，而是使用password_hash。
- 哈希密码不是为了您的安全。这是为了您的用户的安全。我们假设攻击者有一个数据库转储，并且有很长时间将哈希值转换为密码。散列函数花费的时间越长，攻击者破解这些密码所需的时间就越长。延迟它们的时间可用于警告用户并告诉他们在不同网络上更改密码。
哈希值应唯一，而不是123abckkk等设置字符串。
- 如果两个密码相同，则它们将具有相同的哈希值。如果一个密码被破解，其他拥有相同密码的密码也将被破解。这也可以防止生成任何彩虹表。（见https://en.wikipedia.org/wiki/Rainbow_table#Defense_against_rainbow_tables）