php - password_hash返回false

Question

我正在撰写Password课程，并且我使用password_hash与PASSWORD_DEFAULT创建了哈希。

文档说如果散列失败，password_hash也可以返回false。在这种情况下，我会抛出异常，我想仔细测试这个案例。

您是否有$password字符串password_hash($spassword, PASSWORD_DEFAULT) === false的示例？

这与password_verify在与哈希值不匹配时返回false无关。

Answer 1

即使它已经很老了，但是我也有同样的问题，并且有点讨厌。所以我在这里分享我的稀疏结果：

• the linked thread实际上有一个不同的主题：“ password_hash何时返回null”。在这种情况下，它无法处理$options参数中的内容（例如（"cost" => -1）之类的东西，但是它是关于null而不是false的。 >
• 我尝试了各种外来字符串（原始字节，非常长的字符串，空字节等），但是在5.5中，false和PASSWORD_DEFAULT都没有PASSWORD_BCRYPT ，5.6和7.4。
• 较早的PHP版本（不具有本机password-hash功能）的Compability-Libs可能返回false：
  • https://codeigniter.com/userguide3/general/compatibility_functions.html#password_hash
  • https://github.com/ircmaxell/password_compat/issues/90
  • https://github.com/ircmaxell/password_compat/issues/17
• 查看PHP的源代码：
  • In older versions (like 5.5.3)，有各种false情况很难概括（例如，this发生时）。 But even the PHP developers themselves do not test for those，因此给人的印象是它们仅在非常特殊的情况下发生，当用于加密的基础c库失败并且无法用特殊密码触发时。
  • 即使在I can find some false-cases的7.3 deep down in the crypt-libraries null pointers occur for example中也是如此。我还不足以说出这是可能还是什至可能。但是false有still no tests。
  • 在当前的主文档（7.4）中，is no false-case left仍在文档中进行了说明。如您所料，password_hash会在每种错误情况下引发异常。

结论： 我认为最好抓住false的情况（因此也抓住null的情况，尽管如果没有提供$options的情况也不会发生），也许它不太可能。这可能是您应用程序中最关键的部分！尤其是在使用PASSWORD_DEFAULT时，由于它可能会随着时间的推移而改变，因此它的行为是可能的，或者您的应用程序允许使用旧版本的PHP。我会在这里甚至出现die致命错误，因为据我所知，false情况只能由于服务器的严重配置错误而发生。因此，不能在单元测试中对其进行测试。

$hash = password_hash($password, PASSWORD_DEFAULT);

if (!$hash) {

  trigger_error("Fatal error when encrypting the password", E_USER_ERROR);
}