如何在PHP中使用crypt($ pass,'$ 2y $ 09 $ salt')=== crypt($ pass,crypt($ pass,'$ 2y $ 09 $ salt'))?

时间:2014-03-26 17:34:19

标签: php hash blowfish crypt

我确实对crypt()PHP函数感到困惑。

当第二个crypt明显使用不同的第二个参数时,以下两个crypt函数如何提供相同的输出? Diff salt意味着diff hash对吗?

echo crypt("password", '$2y$09$anexamplestringforsalt$')."\n<br>";
echo crypt("password", crypt("password", '$2y$09$anexamplestringforsalt$'))."\n<br>";

输出:

$2y$09$anexamplestringforsale/.K.VdgECUVEd9N4ja3u1WtgPi5BXZq 

2 个答案:

答案 0 :(得分:11)

原因是因为salt是crypt提供的哈希输出的一部分。

$2y$09$anexamplestringforsale/.K.VdgECUVEd9N4ja3u1WtgPi5BXZq 

分为几个部分:

  • 2y - 算法标识符(bcrypt)
  • 09 - 费用参数
  • anexamplestringforsale - 盐
  • /.K.VdgECUVEd9N4ja3u1WtgPi5BXZq - 哈希

这样就可以直接使用结果哈希作为验证调用中的salt。

$hash = crypt($password, $salt);

if ($hash === crypt($password, $hash)) {

现在您不需要分别存储算法,成本或盐。只需将它们直接存储在哈希结果中即可。简单。

此外,我强烈建议您使用简化密码哈希API,该API专门用于缓解这些问题:password_hash()

答案 1 :(得分:0)

如果您使用BlowFish算法,您的代码将最终运行到此功能中:BF_crypt(源代码)

声明:

static char *BF_crypt(const char *key, const char *setting,
char *output, int size,
BF_word min)

密钥是$ str,设置是php函数string crypt ( string $str [, string $salt ] )的$ salt,输出将是加密的返回值。

如您在源代码中所见:

首先,在第777行memcpy(output, setting, 7 + 22 - 1);处,此行将$ salt的前29个字符(从pos 0到pos 7 + 22 -1)复制到返回值$2y$09$anexamplestringforsale < / p>

第二,$ salt的剩余部分从未使用过。

第三,在第784行BF_encode(&output[7 + 22], data.binary.output, 23);处,将加密的字符串附加在返回值上。

因此,$ str和$ salt的前29个字符是影响您的返回值的因素。