我正在创建一个登录系统,我想对密码进行哈希处理以使它们更安全,但每次都返回一个不同的哈希值,甚至无法使用password_verify()进行验证,这是我的代码:
$password = password_hash($password4, PASSWORD_DEFAULT);
这是我的验证代码:
if(password_verify($password4, $dbpassword))
答案 0 :(得分:23)
所以让我们一次把它作为一部分
但每次都返回一个不同的哈希
这就是主意。 password_hash旨在每次生成随机盐。这意味着你必须单独打破每个哈希值,而不是猜测一个用于所有事情的盐并且有一个巨大的支持。
无需MD5或进行任何其他散列。如果您想提高password_hash的安全性,则需要支付更高的费用(默认费用为10)
$password = password_hash($password4, PASSWORD_DEFAULT, ['cost' => 15]);
至于验证
if(password_verify($password4, $dbpassword))
因此$password4应该是您未加密的密码,而$dbpassword应该是您存储在数据库中的哈希