使用 crypt() 实现简单的用户验证系统

在开发简单的用户系统时，密码的加密存储是安全的基础之一。PHP 提供了一个非常实用的加密函数 crypt()，可以帮助我们快速实现基本的密码加密与验证功能。本文将通过一个简明的示例介绍如何使用 crypt() 函数构建一个简单的用户验证系统。

一、了解 crypt() 函数

crypt() 是 PHP 中用于单向字符串加密的函数，通常用于密码加密。其基本语法如下：

string crypt(string $string, string $salt)

其中 $string 是需要加密的字符串，$salt 是用来影响加密结果的“盐”值，支持多种加密算法（如 Blowfish、MD5、SHA-256、SHA-512 等）。

二、创建注册逻辑

用户注册时，需要将密码加密后存储。以下是一个简单的注册示例：

<?php
// 用户输入的密码
$password = 'user_password123';

// 使用 Blowfish 算法生成加密密码
$hash = crypt($password, '$2y$10$' . bin2hex(random_bytes(11)));

// 模拟保存到数据库
file_put_contents('users.txt', "username:$hash\n");

echo "用户已注册，密码已加密保存。";
?>

在这里，我们使用了 $2y$10$ 开头的 salt 前缀，这表示使用 Blowfish 算法（推荐用于密码加密）。random_bytes(11) 生成一个随机的盐值，确保每次加密结果不同，即使密码相同。

三、创建登录验证逻辑

用户登录时，需将输入的密码使用相同的 salt 加密，然后与数据库中的密码哈希进行比对：

<?php
// 用户输入
$input_username = 'username';
$input_password = 'user_password123';

// 从“数据库”读取信息
$data = file('users.txt');
foreach ($data as $line) {
    list($stored_username, $stored_hash) = explode(':', trim($line));

    if ($input_username === $stored_username) {
        // 使用存储的 hash 作为 salt 再加密一次输入的密码
        if (crypt($input_password, $stored_hash) === $stored_hash) {
            echo "登录成功，欢迎回来 $input_username！";
        } else {
            echo "密码错误。";
        }
        exit;
    }
}

echo "用户不存在。";
?>

这样，即使攻击者窃取了密码哈希，也无法直接从哈希中还原原始密码。同时，由于每个用户使用不同的 salt，即使多个用户使用相同密码，存储的哈希值也不同。

四、进一步加强安全

虽然 crypt() 能提供基本的安全性，但 PHP 从 5.5 起推荐使用 password_hash() 和 password_verify()，它们在底层依然使用 crypt()，但封装更完善且更安全。

但在某些限制环境中（例如旧服务器或必须手动控制 salt 的系统），crypt() 依然是一个有效的工具。

五、小结

通过以上内容我们可以看到，使用 PHP 的 crypt() 函数可以快速构建一个简单的用户验证系统：

• 注册时加密密码并存储；

• 登录时使用相同的盐值重新加密密码并对比；

• 结合随机盐提升加密强度，防止彩虹表攻击。

虽然对于现代项目更推荐使用 password_hash()，但理解 crypt() 的底层机制依然非常有帮助，尤其是在需要低层自定义时。