password_hash
(PHP 5 >= 5.5.0, PHP 7)
password_hash — Creates a password hash
描述
string password_hash ( string $password , integer $algo [, array $options ] )password_hash()使用强大的单向哈希算法创建新的密码哈希。password_hash()与crypt()兼容。因此,由crypt()创建的密码哈希可以与password_hash()一起使用。
目前支持以下算法:
PASSWORD_DEFAULT- 使用bcrypt算法(默认为PHP 5.5.0)。请注意,随着新的更强大的算法添加到PHP中,此常量将随时间而变化。出于这个原因,使用这个标识符的结果的长度会随着时间而改变。因此,建议将结果存储在可扩展超过60个字符的数据库列中(255个字符将是一个不错的选择)。
PASSWORD_BCRYPT- 使用CRYPT_BLOWFISH算法创建散列。这将使用“$2y$”标识符产生标准的crypt()兼容散列。结果将始终为60个字符的字符串,或者失败时返回FALSE。
支持的选项:
- 盐 - 在散列密码时手动提供salt以供使用。请注意,这将覆盖并防止salt自动生成。如果省略,每个密码散列都会通过password_hash()生成随机salt 。这是预定的操作模式。
- 警告 从PHP 7.0.0开始,salt选项已被弃用。现在首选简单地使用默认生成的。
- cost - 表示应该使用的算法成本。这些值的例子可以在crypt()页面找到。
如果省略,则使用默认值10。这是一个很好的基准成本,但您可能需要考虑根据您的硬件来增加它。
参数
password
用户的密码。
警告
使用PASSWORD_BCRYPT算法将导致password参数被截断为最大长度为72个字符。
algo
一个密码算法constant表示的散列算法的密码时使用。
options
包含选项的关联数组。有关每种算法支持的选项的文档,请参阅密码算法常量。
如果省略,则会创建一个随机salt,并使用默认成本。
返回值
返回哈希密码,或者失败时返回FALSE。
所使用的算法,成本和盐将作为散列的一部分返回。因此,所有需要验证散列的信息都包含在其中。这允许password_verify()函数验证散列,而不需要单独存储salt或算法信息。
示例
Example #1 password_hash() example
<?php
/**
?*?We?just?want?to?hash?our?password?using?the?current?DEFAULT?algorithm.
?*?This?is?presently?BCRYPT,?and?will?produce?a?60?character?result.
?*
?*?Beware?that?DEFAULT?may?change?over?time,?so?you?would?want?to?prepare
?*?By?allowing?your?storage?to?expand?past?60?characters?(255?would?be?good)
?*/
echo?password_hash("rasmuslerdorf",?PASSWORD_DEFAULT);
?>上面的例子会输出类似于:
$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a示例#2 password_hash()手动设置成本示例
<?php
/**
?*?In?this?case,?we?want?to?increase?the?default?cost?for?BCRYPT?to?12.
?*?Note?that?we?also?switched?to?BCRYPT,?which?will?always?be?60?characters.
?*/
$options?=?[
????'cost'?=>?12,
];
echo?password_hash("rasmuslerdorf",?PASSWORD_BCRYPT,?$options);
?>上面的例子会输出类似于:
$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K示例#3 password_hash()手动设置salt的示例
<?php
/**
?*?Note?that?the?salt?here?is?randomly?generated.
?*?Never?use?a?static?salt?or?one?that?is?not?randomly?generated.
?*
?*?For?the?VAST?majority?of?use-cases,?let?password_hash?generate?the?salt?randomly?for?you
?*/
$options?=?[
????'cost'?=>?11,
????'salt'?=>?mcrypt_create_iv(22,?MCRYPT_DEV_URANDOM),
];
echo?password_hash("rasmuslerdorf",?PASSWORD_BCRYPT,?$options);
?>上面的例子会输出类似于:
$2y$11$q5MkhSBtlsJcNEVsYh64a.aCluzHnGog7TQAKVmQwO9C8xb.t89F.示例#4 password_hash()示例找到了很好的成本
<?php
/**
?*?This?code?will?benchmark?your?server?to?determine?how?high?of?a?cost?you?can
?*?afford.?You?want?to?set?the?highest?cost?that?you?can?without?slowing?down
?*?you?server?too?much.?8-10?is?a?good?baseline,?and?more?is?good?if?your?servers
?*?are?fast?enough.?The?code?below?aims?for?≤?50?milliseconds?stretching?time,
?*?which?is?a?good?baseline?for?systems?handling?interactive?logins.
?*/
$timeTarget?=?0.05;?//?50?milliseconds?
$cost?=?8;
do?{
????$cost++;
????$start?=?microtime(true);
????password_hash("test",?PASSWORD_BCRYPT,?["cost"?=>?$cost]);
????$end?=?microtime(true);
}?while?(($end?-?$start)?<?$timeTarget);
echo?"Appropriate?Cost?Found:?"?.?$cost;
?>上面的例子会输出类似于:
Appropriate Cost Found: 10Notes
警告
强烈建议您不要为此函数生成自己的salt。如果你没有指定,它会自动为你创建一个安全的salt。
如上所述,在PHP 7.0中提供salt选项将生成弃用警告。手动提供salt的支持可能会在未来的PHP版本中被删除。
注意:建议您在服务器上测试此功能,并调整成本参数,以便在交互式系统上执行此功能的时间少于100毫秒。上例中的脚本将帮助您为硬件选择一个良好的成本价值。
注意:通过此功能更新支持的算法(或更改为默认算法)必须遵循以下规则:
- 任何新算法必须至少在PHP的核心版本中才能成为默认版本。因此,例如,如果在7.5.5中添加了新算法,那么直到7.7(因为7.6将是第一个完整版本),它将不符合缺省条件。但是,如果在7.6.0中添加了不同的算法,则它也可以在7.7.0处默认。
- 默认值只能在完整版本(7.3.0,8.0.0等)中更改,而不能在修订版本中更改。唯一的例外是在当前默认情况下发现严重安全缺陷时的紧急情况。
另请参阅
- password_verify() - 验证密码是否与散列匹配
- crypt() - 单向字符串散列
← password_get_info
password_needs_rehash →
本文档系腾讯云开发者社区成员共同维护,如有问题请联系 cloudcommunity@tencent.com
