0

我正在在线学习 php 安全性(使用 php 5.4),并遇到了以下我想了解/使用的代码。以下代码是否使用 bcrypt,它是河豚的良好实现吗?如果存在问题,您能否建议修复或资源。谢谢。

    class PassHash {  

    // blowfish  
    private static $algo = '$2a';  

    // cost parameter  
    private static $cost = '$10';  

    // mainly for internal use  
    public static function unique_salt() {  
        return substr(sha1(mt_rand()),0,22);  
    }  

    // this will be used to generate a hash  
    public static function hash($password) {  

        return crypt($password,  
                    self::$algo .  
                    self::$cost .  
                    '$' . self::unique_salt());  

    }  

    // this will be used to compare a password against a hash  
    public static function check_password($hash, $password) {  

        $full_salt = substr($hash, 0, 29);  

        $new_hash = crypt($password, $full_salt);  

        return ($hash == $new_hash);  

    }  

}

这是用户注册期间的用法:

// include the class 
require ("PassHash.php");
// ...
// read all form input from $_POST
// ...
// do your regular form validation stuff
// ...
// hash the password
$pass_hash = PassHash::hash($_POST['password']);
// store all user info in the DB, excluding $_POST['password']
// store $pass_hash instead
// ...

这是用户登录过程中的用法:

// include the class  
require ("PassHash.php");        
// read all form input from $_POST
// ...
// fetch the user record based on $_POST['username']  or similar  
// ...
// ... 
// check the password the user tried to login with  
if (PassHash::check_password($user['pass_hash'], $_POST['password']) {  
    // grant access  
    // ...  
} else {  
    // deny access  
    // ...  
}
4

1 回答 1

0

简短的回答:

是的,它确实使用了 bcrypt 河豚(在 PHP 中,河豚是 bcrypt 的当前算法)

正确答案 :

为什么不使用像这样的受信任的 PHP 兼容性库?

与您发布的相比,使用它的好处是什么?:

  1. 它被许多人广泛使用(必须被社区信任和接受)

  2. 允许与 php 5.5 本机 bcrypt 函数(因此命名为 passwd_compat)向前兼容更多信息:信息在这里!

  3. 允许进行天才的重新哈希(几乎如果您决定提高算法的成本,您可以轻松地这样做并检查成本是否与库文件中的成本匹配,否则您可以更新密码)

底线:如果您不知道自己在做什么,那么您只能使用 bcrypt 出错。要记住的一件事是:如果已经有轮子,就不要重新发明轮子。

希望这个答案可以帮助您/扩展您的知识。

于 2013-04-07T00:32:40.213 回答