0

我正在使用:

function generateHash($password) {
    if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
        $salt = '$2y$11$' . substr(md5(uniqid(rand(), true)), 0, 22);
        return crypt($password, $salt);
    }
}

用于散列密码,但它与低于 5.3.7 的 PHP 版本不兼容。所以我创建了这个小功能来生成和验证密码但是由于我不是安全专家,我想知道它是非常安全还是仍然不安全。

我的功能:

//$hash variable is also used to check weather we are creating or verifying passwords.
function password($password,$hash=FALSE){

    $salt=array("hfuiliffa","wiaelfbs","usfewl","fr6j5","gwg8","bs4$","fgthwv");//An array of salts
    if ($hash){
        foreach ($salt as $s1)
            foreach ($salt as $s2)
                if ($s1.sha1($s2.$password)===$hash)
                return true;

        return FALSE;//If we are still here means time to return false.
    }else {
        return $salt[array_rand($salt)].sha1($salt[array_rand($salt)].$password);
    }
}
4

1 回答 1

0

您可以做的最好的事情是使用新功能password_hash()。如您所知,有一个适用于 PHP 5.3.7的兼容性包。向上。

如果您确实需要支持较低的 PHP 版本,可以将 crypt 参数从“$2y$%02d$”替换为“$2a$%02d$”,这也会生成 BCrypt 哈希。这是你可以用旧版本做的最好的事情。或者,您可以查看我主页上的示例代码

if (version_compare(PHP_VERSION, '5.3.7') >= 0)
  $algorithm = '$2y$%02d$'; // BCrypt, with fixed unicode problem
else
  $algorithm = '$2a$%02d$'; // BCrypt

如果您绝对需要支持 PHP 4.x,则没有 BCrypt 支持,在这种情况下,我建议使用phpass库。顺便说一句,您使用恒定“盐”的方案几乎没有提供任何保护。

于 2014-04-02T08:08:44.393 回答