我正在制作一个登录系统,我想对密码进行哈希处理以使其更安全,但它每次都返回不同的哈希值,甚至无法使用 password_verify() 进行验证,这是我的代码:
$password = password_hash($password4, PASSWORD_DEFAULT);
这是我的验证代码:
if(password_verify($password4, $dbpassword))
问问题
14359 次
1 回答
41
因此,让我们一次只做一部分
但它每次都返回不同的哈希
这就是想法。password_hash旨在每次生成随机盐。这意味着您必须单独打破每个哈希,而不是猜测所有东西都使用一种盐并获得巨大优势。
不需要MD5或做任何其他散列。如果您想提高安全性,则password_hash通过更高的成本(默认成本为 10)
$password = password_hash($password4, PASSWORD_DEFAULT, ['cost' => 15]);
至于验证
if(password_verify($password4, $dbpassword))
所以$password4应该是您未散列的密码,并且$dbpassword应该是您存储在数据库中的散列
于 2015-10-13T17:35:59.983 回答