Deutsch
Deutsch
Wenn Sie sich mit der Kennwortverschlüsselung in PHP befassen, können Crypt () und Passage_hash () verwendet werden, um den Hash -Wert des Kennworts zu generieren, es gibt jedoch offensichtliche Unterschiede zwischen diesen beiden Funktionen. Bei der Auswahl von Verschlüsselungsfunktionen ist das Verständnis der jeweiligen Prinzipien und Vorteile von entscheidender Bedeutung, um die Sicherheit der Anwendung zu gewährleisten.
Crypt () ist eine langjährige Verschlüsselungsfunktion, die auf Unix-Systeme zurückgeführt werden kann. Es unterstützt eine Vielzahl von Verschlüsselungsalgorithmen (z.
$password = 'mySecretPassword';
$salt = '$6$rounds=5000$anexamplesaltstring$'; // verwenden SHA-512
$hash = crypt($password, $salt);
Der generierte $ Hash wählt den Verschlüsselungsalgorithmus basierend auf dem bereitgestellten Salzformat aus. In diesem Beispiel wird SHA-512 verwendet.
passwart_hash () ist eine moderne Funktion für Passwort -Hash, die seit PHP 5.5 eingeführt wird. Es verwendet standardmäßig den Bcrypt -Algorithmus und unterstützt auch Argon2i und Argon2ID in neueren Versionen (nach Php 7.2). Es ist für das Passworthashing ausgelegt und verwaltet automatisch Salzwerte und Kostenfaktoren, wodurch sichere Codierungsbemühungen erheblich vereinfachen.
$password = 'mySecretPassword';
$hash = password_hash($password, PASSWORD_DEFAULT); // 默认verwenden bcrypt
Der generierte $ Hash ist eine Zeichenfolge, die Algorithmusinformationen, Kosten und Salz enthält, ohne dass manuelle Einstellungen durch den Entwickler benötigt.
| Merkmal | Krypta() | password_hash () |
|---|---|---|
| Salzwertmanagement | Müssen vom Entwickler manuell einrichten | Automatisch generieren |
| Algorithmus | Verschiedene, müssen angegeben werden | Standard Bcrypt , unterstützt Argon2 |
| Sicherheit | Hängt von der Implementierung und Konfiguration ab | Sicherheit standardmäßig nach Best Practices |
| Benutzerfreundlichkeit | Komplexer, fehleranfällig | Einfach, einfach zu bedienen |
| Empfohlener Abschluss | Nicht für neue Projekte empfohlen | Sehr empfohlen |
Der von password_hash () verwendete Algorithmus ist für Hashing -Passwörter (z. B. Bcrypt und Argon2 ) ausgelegt und kann modernen Technologien für das Cracking von Passwörtern wie GPU -beschleunigten Angriffen widerstehen.
Mit der konstanten Passwort_default kann PHP automatisch zu einem sichereren Algorithmus wechseln, ohne den Code zu ändern. Zum Beispiel:
$hash = password_hash($password, PASSWORD_DEFAULT);
Mit der Aktualisierung von PHP werden automatisch stärkere Algorithmen wie das Wechseln von Bcrypt zu argon2ID automatisch angewendet.
Da Passwort_hash () automatisch Salzwerte und Kostenfaktoren behandelt, reduziert es die durch menschlichen Einrichtungsfehler verursachten Sicherheitsprobleme erheblich.
Wenn Sie ein Benutzerauthentifizierungssystem erstellen, z. B. die folgende Form der Registrierungsverarbeitungsskripte:
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
$password = $_POST['password'];
$hash = password_hash($password, PASSWORD_DEFAULT);
// Speichern in der Datenbank
$conn = new PDO('mysql:host=localhost;dbname=example', 'user', 'pass');
$stmt = $conn->prepare('INSERT INTO users (username, password) VALUES (?, ?)');
$stmt->execute([$_POST['username'], $hash]);
header('Location: https://m66.net/login-success');
}
In diesem Fall ist die Verwendung von Password_hash () erheblich sicherer und moderner und kann die Sicherheit und Wartbarkeit des Systems für lange Zeit beibehalten.
Obwohl CryPT () immer noch verwendbar ist, ist password_hash () aus Sicht der Sicherheit, Benutzerfreundlichkeit und zukünftiger Wartbarkeit eine geeignete Wahl. Insbesondere in Szenarien, in denen Benutzerkennwörter verarbeitet werden, sollte Passage_hash () mit password_verify () verwendet werden, um die Benutzereingabe zu überprüfen und eine sicherere PHP -Anwendung zu erstellen.
