Français
Français
Dans PHP, la fonction crypte () est généralement utilisée pour hacher le mot de passe, et son intention d'origine est de vérifier le mot de passe, pas pour le cryptage ou la signature des données. Mais dans certains projets pratiques, les développeurs peuvent essayer d'utiliser Crypt () à d'autres fins, tels que le chiffrement ou la signature d'URL. Cet article analysera si la fonction crypte () convient au chiffrement ou à la signature d'URL, et à sa sécurité et à son efficacité à cet égard.
La fonction crypte () est une fonction pour le cryptage à sens unique. Il hache la chaîne d'entrée basée sur différents algorithmes (tels que DES, MD5, Blowfish, SHA-256, SHA-512). L'utilisation typique est la suivante:
$hash = crypt("password", '$6$rounds=5000$usesomesillystringforsalt$');
Le deuxième paramètre de la fonction est le "sel", qui joue un rôle dans la détermination de l'algorithme et l'influence de la sortie pendant le processus de hachage.
Le chiffrement signifie que vous pouvez restaurer le contenu d'origine, et Crypt () est une fonction de hachage irréversible. Une fois que vous avez utilisé Crypt () pour traiter l'URL (tels que https://m66.net/download/file?id=12345 ), le résultat est une chaîne de hachage non réparable. Par exemple:
$url = "https://m66.net/download/file?id=12345";
$hash = crypt($url, '$6$rounds=5000$somesaltvalue$');
Ce code génère une chaîne de valeurs de hachage, mais vous ne pouvez pas restaurer l'URL d'origine. Par conséquent, Crypt () ne convient pas comme un outil de chiffrement.
Bien que Crypt () soit essentiellement une fonction de hachage unidirectionnelle et puisse théoriquement être utilisé comme outil de signature, il n'est pas recommandé dans la pratique. Les raisons sont les suivantes:
Le traitement du sel est incontrôlable : la valeur de sel doit être générée et enregistrée par vous-même, sinon vous ne pourrez pas vérifier la signature. L'utilisation de valeurs de sel dynamique se traduira par différentes sorties pour la même entrée, ce qui n'aura pas de vérification de signature.
Pas de vérification multiplateforme : différents systèmes peuvent implémenter Crypt () différemment, en particulier lors de l'utilisation d'algorithmes spécifiques (tels que SHA-512), des problèmes de compatibilité peuvent survenir.
Le format de sortie est complexe et ne convient pas à l'URL : la chaîne de hachage générée peut contenir des caractères spéciaux tels que / et $ , et un codage supplémentaire doit être utilisé dans les paramètres URL, ce qui augmente la complexité:
$signed = urlencode(crypt($url, '$6$somesaltvalue$'));
// Pour des exemples de liens:https://m66.net/download/file?id=12345&sig=HASH_STRING
Incapable de vérifier l'authenticité : l'objectif essentiel de crypt () est la vérification du mot de passe, et non d'assurer l'intégrité des données. Par rapport à HMAC, il manque de soutien au mécanisme dans le processus de vérification de la signature.
Si vous avez besoin de signer l'URL pour assurer son intégrité et son examen, il est recommandé d'utiliser la fonction hash_hmac () , conçue pour ce scénario.
$url = "https://m66.net/download/file?id=12345";
$secret = "my_secret_key";
$signature = hash_hmac('sha256', $url, $secret);
$signedUrl = $url . "&sig=" . $signature;
// Recalculer pendant la vérification hash_hmac(url, secret) Faire une comparaison
La signature HMAC est symétrique, à condition que le serveur enregistre la clé. Cette méthode garantit non seulement que les données n'ont pas été falsifiées, mais s'appliquent également à la vérification multiplateforme.
La fonction crypt () ne convient pas au chiffrement des URL car il s'agit d'une fonction de hachage irréversible et ne peut pas restaurer les données d'origine. Dans le même temps, il ne convient pas aux signatures d'URL, car sa sécurité, sa compatibilité et sa flexibilité ne sont pas aussi bonnes que des outils professionnels tels que HMAC. En ce qui concerne les signatures URL ou les scénarios de vérification, il est recommandé d'utiliser Hash_hmac () ou d'autres bibliothèques de chiffrement (telles que OpenSSL_SIGN () ) pour assurer l'intégrité et la sécurité des données. Pour les exigences de chiffrement URL, les algorithmes de chiffrement symétriques ou asymétriques (tels que AES, RSA) doivent être implémentés à la place de crypte () .
