这是我目前在PHP / SQL项目中的密码哈希程序… >从/ dev / urandom获取512位每用户盐,除了最终哈希之外,还存储在用户的DB记录中>从/ dev / urandom中取出512位“pepper”,它存储在文件系统中.这是一个每个应用程序不变,每个用户都是一样的>然后哈希(‘sha512’,$password.$salt.$pepper,TRUE) 散列和盐在DB中以二进制形式存储,主要是出于习惯.我认为它在安全方面没有任何区别.如果有的话,它对SQL备份来说稍微不方便,并使PHP代码看起...
我用bcrypt哈希我的密码(因为我运行php 5.3.10,实际上是password_compat)我想将函数的结果字符串拆分为两部分:使用的盐和散列本身. (我知道使用password_verify()来验证密码.但是我需要使用哈希作为密钥来加密更广泛的安全系统中的私钥.) 对于给定的密码(abcdef),这是结果:$2y$10$ult68Ti4/zEWX4VQ .... YCOWjL6我稍微修改了the function,吐出了concat,salt,hash和hash_format.... from the password_compat ......
所以我听说PHP 7.2引入了新的Argon2 algorithm.但是我对如何将它与现有代码一起使用感到困惑.例如,我有这个$password = password_hash('somepassword', PASSWORD_DEFAULT, ['cost' => 12]);PASSWORD_DEFAULT现在使用Argon2吗?如果有的话,我需要使用password_verify进行更改? bcrypt现在被认为是不安全的吗?解决方法:什么是Argon2? bcrypt现在不好吗? 在PHP 7.2之前,使用的唯一散列算法password_hash是bcrypt.在撰写本文时,bcr...
我正在尝试将密码作为md5处理到数据库中,这是相关的代码:include_once("config.php"); session_start();if(isset($_POST['signup'])){$name = $_POST['name'];$email = $_POST['email'];$pass = $_POST['pass'];$insert = $pdo->prepare("INSERT INTO users (name,email,pass)values(:name,:email,:pass) ");$insert->bindParam(':name',$name);$insert->bindParam(':email',$email);$insert->bindParam(':pass',$pass);$insert->...
参见英文答案 > Call to undefined function password_hash() in PHP 5.4 1个我使用安装了PHP 5.5的XAMPP开发了我的网站.我只是意识到我的主机只有php 5.4(还不能更新到5.5).我的问题是我不能使用新的PHP 5.5 password_hash()功能.是否有一个等效的方法用于PHP 5.4的哈希哈希? 有没有办法让这个等效的代码(下面)在PHP 5.4中工作?$options = ['salt' => uniqid(mt_rand(), true),'cost' => 12...
所以,我正在为我的网站切换到laravel.我的旧网站目前拥有约500名用户.每个用户都附加了一个md5哈希值作为密码(duh ^^). 当我切换到laravel时,我希望使用Auth :: attempt不幸的是,它使用自己的方法来散列密码字符串.我不希望我的所有用户都更改密码,因为我正在切换到laravel,是否可以让Auth类使用md5代替,所以我的用户不必切换密码?
如果我使用password_hash函数创建了两个密码哈希,如何判断它们是否来自相同的基本密码?我知道每次使用不同的盐.我没有明文. 例如:$2y $10 $M6CnjqaxuUKNhg84T8NpLeylkUrvP1pzoZNhBWfpSzP2zJneuS1re和$2y $10 $ZSlQNIbsLWfj7JLCSkvFLeS / adH.KnGZTgA1BcvyPXl7BEn7GhREO都来自哈希测试.如果将这两个哈希值作为参数,我该如何编写一个返回true的函数? 这可能吗? 所以:<?php function check_hashes($hash1, $hash2) { (some code)...
我有php代码来生成hash_hmac$concate=array(); $validation_token = hash_hmac('md5', implode("|", $concate), 'hshalslkaslfhalkfhalsksaas'); echo $validation_token;所以现在$validation_token给了我正确的值.但我想在Javascript中使用这些类型的功能. 谁能帮我. ? 提前致谢.:)解决方法:没有默认功能,但有第三方libarires提供此功能 > Crypto-js是一个很好的库,提供此功能(参见https://code.google.com/p/crypto-js/#HMAC),...
在php手册中,有很多例子在password_hash中使用cost一些例子用来计算好的成本<?php /** * This code will benchmark your server to determine how high of a cost you can * afford. You want to set the highest cost that you can without slowing down * you server too much. 8-10 is a good baseline, and more is good if your servers * are fast enough. The code below aims for ≤ 50 milliseconds stretching time,* wh...
你好,你可能知道PHP最近推出了password_hash内置的最新版本.文件说:If omitted, a random salt will be created and the default cost will be used. 问题是它添加盐的方法是什么? 我很感兴趣,因为我想知道盐是否是随机创建的,所以当我存储我的哈希密码时,它们总是唯一的.解决方法:盐是随机产生的.它们应该具有统计独特性. 要了解具体方法,请查看the C source code. 在Windows上,它将尝试使用php_win32_get_random_bytes()来生成...
我刚刚阅读了PHP 5.5中的新功能,它包括新的密码散列功能(http://www.php.net/manual/en/function.password-hash.php).现在,如果你看一下描述,它的默认操作是随机生成一个密码盐,如果你没有指定. 但我不明白这是多么有用.因为如果您正在哈希密码以便安全存储,并且盐是随机的.然后,当您运行用户输入密码的字符串时,如果每次盐不同,则每次生成的散列都会不同.因此,您无法成功比较输入的有效密码与密码哈希的存储副本. 那么这怎么可能有...
我正在使用Hash :: check()来检查输入密码的当前密码.我用这个来检查这个动作$HashPassowrd = Hash::make(Input::get('password'));if( ! Hash::check( Input::get('currPassword') , $data->password ) ) {return Redirect::to('profile.update')->withErrors('Current Password in Incorrect!'); }如何使用它作为验证器?例如在这个规则中$rules = array('name' => 'required|alpha','family' => 'required','email'...
所以,标题基本上描述了我的问题.我的哈希:make()疯了.我创建了一个带有哈希密码的用户表,但我不能让Laravel接受我的凭据,我认为问题出在Hash :: make中. 所以,测试这段代码:Route::get('/', function() {return Hash::make('1234'); });每当我点击路线’/’时,它就会给我一个不同的哈希值. 它对每个人都表现如此吗?有什么建议?我迷路了! 在火箭小费之后,我试过了if(!Hash::check('1234', User::find(1)->password))return 'n...
我尝试使用password_hash()PHP函数来哈希用户密码.但是,它的功能是工作哈希,而不是常量.<?php echo password_hash('a',PASSWORD_BCRYPT,array('cost' => 12)); ?>第4次测试时间的结果1. $2y$12$SRmipqM7AsYkx3Xc8QGHNex69rGXeVyWGTYrh9T8sh1cP3UrdjfQi 2. $2y$12$zx.GUgtcake3wMfl3/YXXeG1.8mmHKyRruL3nWj8OmA.RbEYqeW6u 3. $2y$12$XQtmFplcehkgWLbGrOUsNOlXDU/NGrwZlt3HM88hLbUHXhjXNF4km 4. $2y$12$q9/OSZdDJw7af4Hw4MGlHeY7UMtW...
我使用Postgres 9.3数据库作为Web应用程序的后端.我使用PHP 5.5.7连接到数据库并返回前端AJAX调用的JSON. 我正在尝试决定将用户身份验证逻辑放在何处. 我不是安全专家;但是,我熟悉PHP的新密码_ *()函数,我非常了解幕后发生的事情.我也熟悉Postgres Extension pgcrypto和相关的crypt()函数. 我的问题是,使用PHP或Postgres散列密码是否有意义? 我很好奇这些函数是如何不同的,所以我在PHP中创建了一个密码哈希,然后将它交给Postgres,...