2

我正在使用 PHP 将密码存储在 SQL 数据库中,并计划使用 bcrypt。

我正在做一些研究,以找到我应该使用什么类型和大小来将哈希和盐存储在我的数据库中。

基于对这个问题的出色回答,似乎 bcrypt 有时会输出不同大小的散列,可能与CHAR(76)or一样大BINARY(60)。但我不明白何时以及为什么。

该问题提供了一个链接,该链接说使用该$2$方案产生 59 个字节,并$2a$产生 60 个字节。但是,由于某种原因,由于高位攻击或其他原因,今天的 php crypt文档建议使用$2y$over 。$2a$无论如何,我想$2y$按照推荐的方式使用,但是没有迹象表明它会输出的大小。

我在数据库中的字段大小应该是多少?

CHAR此外,BINARY这种应用程序之间有什么实际区别吗?

4

2 回答 2

1
  1. 哈希:CHAR(60)
  2. 盐:CHAR(22)

这可以通过实验找到:

<?php
    $salt1 = "FotZoGZruCl8ugk0Tvl4g";
    $salt2 = "FotZoGZruCl8ugk0Tvl4g9";
    $salt3 = "FotZoGZruCl8ugk0Tvl4g9a";

    print 'Salt 1 (stlen = ' . strlen($salt1) . '): ' . $salt1 . '<br />';
    print 'Salt 2 (stlen = ' . strlen($salt2) . '): ' . $salt2 . '<br />';
    print 'Salt 3 (stlen = ' . strlen($salt3) . '): ' . $salt3 . '<br />';

    $hash1 = crypt('password1', '$2y$07$' . $salt1);
    $hash2 = crypt('password1', '$2y$07$' . $salt2);
    $hash3 = crypt('password1', '$2y$07$' . $salt3);

    print 'Hash 1 (strlen = ' . strlen($hash1) . '): ' . $hash1 . '<br />';
    print 'Hash 2 (strlen = ' . strlen($hash2) . '): ' . $hash2 . '<br />';
    print 'Hash 3 (strlen = ' . strlen($hash3) . '): ' . $hash3 . '<br />';
?>

输出将是:

Salt 1 (stlen = 21): FotZoGZruCl8ugk0Tvl4g
Salt 2 (stlen = 22): FotZoGZruCl8ugk0Tvl4g9
Salt 3 (stlen = 23): FotZoGZruCl8ugk0Tvl4g9a
Hash 1 (strlen = 60): $2y$07$FotZoGZruCl8ugk0Tvl4g.pXg.UBUUwuj14Ur1d.z/tMLqGPxQLBW
Hash 2 (strlen = 60): $2y$07$FotZoGZruCl8ugk0Tvl4guNd47GUslNQPXiel70rI0yvffP7iPSHe
Hash 3 (strlen = 60): $2y$07$FotZoGZruCl8ugk0Tvl4guNd47GUslNQPXiel70rI0yvffP7iPSHe

您会注意到,如果添加超过 22 个字符的盐,哈希将保持不变。也就是说,crypt 会在执行散列之前将 salt 截断为 22 个字符。

仅供参考,随机盐生成:

$salt = substr(strtr(base64_encode(mcrypt_create_iv(17, MCRYPT_DEV_URANDOM)), "=+", "./"), 0, 22);

编辑:另外,盐/哈希的格式是 64 进制。即使用 az, AZ, 0-9, '.' 和 '/' 作为数字,每个数字代表一个从 0 到 63 的值......所以CHAR在数据库中使用就可以了,BINARY因为你可以用CHAR.

于 2012-08-05T07:40:41.587 回答
0

它将是相同的大小 - 60 个字符。$2$(和之间唯一的区别$2a$是前者少了一个字符。实际的散列部分大小相同。)

于 2012-08-05T04:37:48.213 回答