我正在考虑使用password_hash()函数来加密用户密码。据我所知,如果您不提供盐,此功能会默认生成盐,甚至鼓励使用默认盐而不是您自己的盐。我目前正在权衡3个选项,无法决定选择哪一个,所以如果你能帮助我,我会很感激。
1。选项:password_hash(),默认盐
$passwordInput = $_POST['password'];
$passwordHash = password_hash($passwordInput, PASSWORD_BCRYPT);
//INSERT $passwordHash INTO DATABASE
2。选项:带有自定义盐的密码_hash()
$options = ['salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM)];
$passwordInput = $_POST['password'];
$passwordHash = password_hash($passwordInput, PASSWORD_BCRYPT, $options);
//INSERT $passwordHash INTO DATABASE
第3。选项:根本不使用password_hash()
我将此选项基于2014年的帖子:The definitive guide to form-based website authentication。基本上如果它比password_hash()更安全,我会使用这样的东西:
$salt = uniqid(rand(0, 1000000);
$passwordInput = $_POST['password'];
$password = hash('sha512', $salt . $passwordInput);
//INSERT $password AND $salt INTO DATABASE SEPARATELY
答案 0 :(得分:10)
这个问题的真正简短回答是使用password_hash()和默认盐(你的第一个选项),在PHP7中不推荐使用自定义盐,因为引用php.net:
不推荐使用password_hash()函数的salt选项,以防止开发人员生成自己的(通常是不安全的)salt。当开发人员不提供盐时,该函数本身会生成加密安全的盐 - 因此不需要生成自定义盐。
出于同样的原因,我们应该避免使用您的第三个选项hash(),因为您需要再生成自己的盐。