PHP password_hash() 函數(shù)用法及示例
PHP 密碼散列算法
password_hash() 函數(shù)用于創(chuàng)建密碼的散列(hash)
PHP 版本要求: PHP 5 >= 5.5.0, PHP 7
語法
string password_hash ( string $password , int $algo [, array $options ] )
password_hash() 使用足夠強(qiáng)度的單向散列算法創(chuàng)建密碼的散列(hash)�����。 password_hash() 兼容 crypt()�。 所以, crypt() 創(chuàng)建的密碼散列也可用于 password_hash()�����。
當(dāng)前支持的算法:
PASSWORD_DEFAULT - 使用 bcrypt 算法 (PHP 5.5.0 默認(rèn))���。
注意����,該常量會隨著 PHP 加入更新更高強(qiáng)度的算法而改變�。
所以,使用此常量生成結(jié)果的長度將在未來有變化�����。
因此,數(shù)據(jù)庫里儲存結(jié)果的列可超過60個字符(最好是255個字符)��。
PASSWORD_BCRYPT - 使用 CRYPT_BLOWFISH 算法創(chuàng)建散列�����。
這會產(chǎn)生兼容使用 "$2y$" 的 crypt()��。
結(jié)果將會是 60 個字符的字符串����, 或者在失敗時返回 FALSE。
PASSWORD_ARGON2I - 使用 Argon2 散列算法創(chuàng)建散列��。
PASSWORD_BCRYPT 支持的選項:
salt(string) - 手動提供散列密碼的鹽值(salt)���。這將避免自動生成鹽值(salt)。
省略此值后�����,password_hash() 會為每個密碼散列自動生成隨機(jī)的鹽值���。這種操作是有意的模式�����。
注意:鹽值(salt)選項從 PHP 7.0.0 開始被廢棄(deprecated)了��。 現(xiàn)在最好選擇簡單的使用默認(rèn)產(chǎn)生的鹽值���。
cost (integer) - 代表算法使用的 cost�。crypt() 頁面上有 cost 值的實例����。
省略時,默認(rèn)值是 10����。 這個 cost 是個不錯的底線,但也許可以根據(jù)自己硬件的情況��,加大這個值�。
PASSWORD_ARGON2I 支持的選項:
memory_cost (integer) - 計算 Argon2 散列時的最大內(nèi)存(單位:字節(jié) byte)。默認(rèn)值: PASSWORD_ARGON2_DEFAULT_MEMORY_COST���。
time_cost (integer) - 計算 Argon2 散列時最多的時間��。默認(rèn)值: PASSWORD_ARGON2_DEFAULT_TIME_COST��。
threads (integer) - 計算 Argon2 散列時最多的線程數(shù)�。默認(rèn)值: PASSWORD_ARGON2_DEFAULT_THREADS。
參數(shù)說明:
password: 一個由 password_hash() 創(chuàng)建的散列值�����。
algo: 一個用來在散列密碼時指示算法的密碼算法常量����。
options: 一個包含有選項的關(guān)聯(lián)數(shù)組。目前支持兩個選項:salt��,在散列密碼時加的鹽(干擾字符串)��,以及cost���,用來指明算法遞歸的層數(shù)����。這兩個值的實例可在 crypt() 頁面找到�����。
省略后���,將使用隨機(jī)鹽值與默認(rèn) cost����。
返回值
返回散列后的密碼���, 或者在失敗時返回 FALSE���。
在線示例
<?php
/**
* 我們想要使用默認(rèn)算法散列密碼
* 當(dāng)前是 BCRYPT,并會產(chǎn)生 60 個字符的結(jié)果��。
*
* 請注意�����,隨時間推移�,默認(rèn)算法可能會有變化,
* 所以需要儲存的空間能夠超過 60 字(255字不錯)
*/
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);
?>輸出結(jié)果為:
$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a
<?php
/**
* 在這個案例里�����,我們?yōu)?nbsp;BCRYPT 增加 cost 到 12����。
* 注意����,我們已經(jīng)切換到了����,將始終產(chǎn)生 60 個字符。
*/
$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);
?>輸出結(jié)果為:
$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K
示例 3
手動設(shè)置鹽值的實例
<?php
/**
* 注意�,這里的鹽值是隨機(jī)產(chǎn)生的。
* 永遠(yuǎn)都不要使用固定鹽值����,或者不是隨機(jī)生成的鹽值。
*
* 絕大多數(shù)情況下����,可以讓 password_hash generate 為你自動產(chǎn)生隨機(jī)鹽值
*/
$options = [
'cost' => 11,
'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);
?>輸出結(jié)果為:
$2y$11$q5MkhSBtlsJcNEVsYh64a.aCluzHnGog7TQAKVmQwO9C8xb.t89F.
示例 4
尋找最佳 cost 的 password_hash() 實例
<?php
/**
* 這個實例對服務(wù)器做了基準(zhǔn)測試(benchmark),檢測服務(wù)器能承受多高的 cost
* 在不明顯拖慢服務(wù)器的情況下可以設(shè)置最高的值
* 8-10 是個不錯的底線�����,在服務(wù)器夠快的情況下�����,越高越好����。
* 以下代碼目標(biāo)為 ≤ 50 毫秒(milliseconds),
* 適合系統(tǒng)處理交互登錄�����。
*/
$timeTarget = 0.05; // 50 毫秒(milliseconds)
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Appropriate Cost Found: " . $cost;
?>輸出結(jié)果為:
Appropriate Cost Found: 10
示例 5
使用 Argon2 實例:
<?php
echo 'Argon2 hash: ' . password_hash('rasmuslerdorf', PASSWORD_ARGON2I);
?>輸出結(jié)果為:
Argon2 hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0
PHP 密碼散列算法