PHP将db中的加密密码与表单中插入的密码进行比较

时间:2015-06-14 00:21:19

标签: php hash cryptography passwords md5

我有一个带有加密密码的数据库。当用户登录时,我会这样做:

$result = mysqli_fetch_assoc(mysqli_query($conn,$query));
$cryptedPass = $result['password'];
$pass = $_POST['password'];
if(strcmp($cryptedPass,md5($pass))==0)
   echo "yeah!";

它有效,但我想知道这是否正确,或者是否有更安全的东西!

1 个答案:

答案 0 :(得分:1)

不要使用MD5。有很多在线文档可以解释这是多么不安全。例如:

https://en.wikipedia.org/wiki/MD5

我建议使用crypt()功能。

请在此处阅读:http://php.net/crypt

使用的好方法是CRYPT_BLOWFISH

这是我发现的一个功能,我使用的功能。不幸的是我不记得我发现它的位置,所以我不能引用作者。

function blowfishEncrypt($string,$rounds) {
        $salt = "";
        $saltCharacters = array_merge(range('A','Z'),range('a','z'),range(0,9));
        for ($i=0;$i<22;$i++) {
            $salt .= $saltCharacters[array_rand($saltCharacters)];
        }
        $hashstring = crypt($string,'$2y$' . $rounds . '$' . $salt);

        return $hashstring;
    }

要创建加密密码,您可以这样使用它:

$cryptedPass=blowfishEncrypt($clearPass,'07');

然后进行比较,你会使用:

if($cryptedPass==crypt($pass,$cryptedPass)) {
    echo 'Yeah!';
}

注意:如果您在5.3.7之前使用的是PHP版本,则salt前缀必须为$2a$

  

PHP 5.3.7引入了新的前缀$2y$来修复安全漏洞   在Blowfish实施中。