PHP password_hash() 函數(shù)用法及示例
PHP 密碼散列算法
password_hash() 函數(shù)用于創(chuàng)建密碼的散列(hash)
PHP 版本要求: PHP 5 >= 5.5.0, PHP 7
語(yǔ)法
string password_hash ( string $password , int $algo [, array $options ] )
password_hash() 使用足夠強(qiáng)度的單向散列算法創(chuàng)建密碼的散列(hash)����。 password_hash() 兼容 crypt()����。 所以�����, crypt() 創(chuàng)建的密碼散列也可用于 password_hash()��。
當(dāng)前支持的算法:
PASSWORD_DEFAULT - 使用 bcrypt 算法 (PHP 5.5.0 默認(rèn))����。
注意,該常量會(huì)隨著 PHP 加入更新更高強(qiáng)度的算法而改變��。
所以����,使用此常量生成結(jié)果的長(zhǎng)度將在未來(lái)有變化�。
因此,數(shù)據(jù)庫(kù)里儲(chǔ)存結(jié)果的列可超過(guò)60個(gè)字符(最好是255個(gè)字符)�����。
PASSWORD_BCRYPT - 使用 CRYPT_BLOWFISH 算法創(chuàng)建散列�����。
這會(huì)產(chǎn)生兼容使用 "$2y$" 的 crypt()����。
結(jié)果將會(huì)是 60 個(gè)字符的字符串, 或者在失敗時(shí)返回 FALSE��。
PASSWORD_ARGON2I - 使用 Argon2 散列算法創(chuàng)建散列����。
PASSWORD_BCRYPT 支持的選項(xiàng):
salt(string) - 手動(dòng)提供散列密碼的鹽值(salt)。這將避免自動(dòng)生成鹽值(salt)。
省略此值后�,password_hash() 會(huì)為每個(gè)密碼散列自動(dòng)生成隨機(jī)的鹽值。這種操作是有意的模式�。
注意:鹽值(salt)選項(xiàng)從 PHP 7.0.0 開始被廢棄(deprecated)了。 現(xiàn)在最好選擇簡(jiǎn)單的使用默認(rèn)產(chǎn)生的鹽值�。
cost (integer) - 代表算法使用的 cost。crypt() 頁(yè)面上有 cost 值的實(shí)例����。
省略時(shí),默認(rèn)值是 10��。 這個(gè) cost 是個(gè)不錯(cuò)的底線����,但也許可以根據(jù)自己硬件的情況,加大這個(gè)值���。
PASSWORD_ARGON2I 支持的選項(xiàng):
memory_cost (integer) - 計(jì)算 Argon2 散列時(shí)的最大內(nèi)存(單位:字節(jié) byte)�����。默認(rèn)值: PASSWORD_ARGON2_DEFAULT_MEMORY_COST�����。
time_cost (integer) - 計(jì)算 Argon2 散列時(shí)最多的時(shí)間�����。默認(rèn)值: PASSWORD_ARGON2_DEFAULT_TIME_COST����。
threads (integer) - 計(jì)算 Argon2 散列時(shí)最多的線程數(shù)�。默認(rèn)值: PASSWORD_ARGON2_DEFAULT_THREADS。
參數(shù)說(shuō)明:
password: 一個(gè)由 password_hash() 創(chuàng)建的散列值��。
algo: 一個(gè)用來(lái)在散列密碼時(shí)指示算法的密碼算法常量���。
options: 一個(gè)包含有選項(xiàng)的關(guān)聯(lián)數(shù)組����。目前支持兩個(gè)選項(xiàng):salt���,在散列密碼時(shí)加的鹽(干擾字符串)���,以及cost,用來(lái)指明算法遞歸的層數(shù)�。這兩個(gè)值的實(shí)例可在 crypt() 頁(yè)面找到�。
省略后����,將使用隨機(jī)鹽值與默認(rèn) cost。
返回值
返回散列后的密碼����, 或者在失敗時(shí)返回 FALSE。
在線示例
<?php
/**
* 我們想要使用默認(rèn)算法散列密碼
* 當(dāng)前是 BCRYPT�����,并會(huì)產(chǎn)生 60 個(gè)字符的結(jié)果�。
*
* 請(qǐng)注意,隨時(shí)間推移�����,默認(rèn)算法可能會(huì)有變化���,
* 所以需要儲(chǔ)存的空間能夠超過(guò) 60 字(255字不錯(cuò))
*/
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);
?>輸出結(jié)果為:
$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a
<?php
/**
* 在這個(gè)案例里����,我們?yōu)?nbsp;BCRYPT 增加 cost 到 12�����。
* 注意,我們已經(jīng)切換到了��,將始終產(chǎn)生 60 個(gè)字符�。
*/
$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);
?>輸出結(jié)果為:
$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K
示例 3
手動(dòng)設(shè)置鹽值的實(shí)例
<?php
/**
* 注意,這里的鹽值是隨機(jī)產(chǎn)生的���。
* 永遠(yuǎn)都不要使用固定鹽值�,或者不是隨機(jī)生成的鹽值��。
*
* 絕大多數(shù)情況下��,可以讓 password_hash generate 為你自動(dòng)產(chǎn)生隨機(jī)鹽值
*/
$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);
?>輸出結(jié)果為:
$2y$11$q5MkhSBtlsJcNEVsYh64a.aCluzHnGog7TQAKVmQwO9C8xb.t89F.
示例 4
尋找最佳 cost 的 password_hash() 實(shí)例
<?php
/**
* 這個(gè)實(shí)例對(duì)服務(wù)器做了基準(zhǔn)測(cè)試(benchmark)���,檢測(cè)服務(wù)器能承受多高的 cost
* 在不明顯拖慢服務(wù)器的情況下可以設(shè)置最高的值
* 8-10 是個(gè)不錯(cuò)的底線,在服務(wù)器夠快的情況下�,越高越好。
* 以下代碼目標(biāo)為 ≤ 50 毫秒(milliseconds)��,
* 適合系統(tǒng)處理交互登錄�����。
*/
$timeTarget = 0.05; // 50 毫秒(milliseconds)
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Appropriate Cost Found: " . $cost;
?>輸出結(jié)果為:
Appropriate Cost Found: 10
示例 5
使用 Argon2 實(shí)例:
<?php
echo 'Argon2 hash: ' . password_hash('rasmuslerdorf', PASSWORD_ARGON2I);
?>輸出結(jié)果為:
Argon2 hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0
PHP 密碼散列算法