日本語
日本語
PHPでは、 Crypt()関数を使用して、パスワードの保存と検証によく使用される一方向ハッシュで文字列を暗号化します。その使用は、プラットフォームによってほぼ同じですが、 Crypt()によって返される結果は、特にWindowsとLinuxによって異なることが多いことがよくあります。この違いは多くの開発者を混乱させます。この記事では、理由を詳細に分析し、解決策を提供します。
crypt()はインターフェイス関数であり、基礎となる実装は、オペレーティングシステムによって提供される暗号化アルゴリズムに依存します。通常、DES、MD5、SHA-256、SHA-512など、さまざまな暗号化アルゴリズムをサポートします。特定のサポートは、オペレーティングシステムとPHPバージョンに依存します。
フォーマットを呼び出す例:
$hash = crypt('mypassword', '$6$rounds=5000$usesomesillystringforsalt$');
ここで2番目のパラメーターは塩で、暗号化アルゴリズムと暗号化強度を決定します。
Linuxは通常、GLIBC(GNU Cライブラリ)に基づいたCrypt()実装を使用し、さまざまな最新のハッシュアルゴリズム(SHA-256、SHA-512など)をサポートします。
Windowsには、Crypt()の実装が組み込まれていません。 PHPは、通常、従来のDESまたはMD5アルゴリズムのみをサポートするWindowsで比較的基本的な実装を使用し、暗号化方法が比較的限られています。
これにより、LinuxでSHA-512塩パラメーターを使用すると、対応するハッシュが正しく生成されますが、Windowsはこの塩形式を認識しない場合があり、返品結果は異なります。
さまざまなPHPバージョンがCrypt()のサポートを最適化および補完する場合がありますが、基礎となるレイヤーは依然としてシステムライブラリに依存します。通常、Windowsの下のPHPは内部実装にのみ依存することができるため、そのパフォーマンスはLinuxほど包括的ではありません。
Linuxは、次のような豊富な塩形式をサポートしています。
$ 1 $はMD5を意味します
$ 5 $はSHA-256を意味します
$ 6 $はSHA-512を意味します
Windowsは$ 1 $などの単純な形式のみを認識する場合があり、複雑な形式は無視され、さまざまなハッシュ結果が得られます。
PHP 5.5は後に、より近代的で統一されたパスワードハッシュインターフェイスを導入しました。
$hash = password_hash('mypassword', PASSWORD_DEFAULT);
if (password_verify('mypassword', $hash)) {
echo "パスワード検証が成功しました";
}
異なるシステムでのCrypt()の一貫性のない動作の問題を回避するため、クロスプラットフォームの互換性のある互換性のある互換性を内部的にカプセル化します。
手動スプライシングの代わりに標準インターフェイスを使用して塩を生成してみてください。手動で塩を設定すると、互換性と安全性のリスクが発生する可能性があります。
Crypt()を使用する必要がある場合は、ターゲットシステムでテストを実行して、アルゴリズムの違いをハッシュするための検証障害を回避してください。
<?php
// 推奨使用 password_hash 代替 crypt
$password = 'mypassword';
$hash = password_hash($password, PASSWORD_DEFAULT);
echo "ハッシュ結果:" . $hash . PHP_EOL;
// パスワードを確認します
if (password_verify($password, $hash)) {
echo "パスワード検証が成功しました";
} else {
echo "パスワード検証に失敗しました";
}
?>
この方法は、Windows環境とLinux環境の両方で一貫したパフォーマンスを保証し、安全なハッシュアルゴリズムを使用します。
