Mã hóa mật khẩu tốt nhất trong php
Đây là mã SQL để tạo bảng (bạn có thể sử dụng nó với PhpMyAdmin để tạo bảng trên môi trường phát triển của mình) Show
Quan trọng Đảm bảo đặt cột mật khẩu dưới dạng varchar . (Một varchar là một cột văn bản có độ dài thay đổi. ) Lý do là kích thước của hàm băm từ password_hash() có thể thay đổi (sẽ biết thêm chi tiết về vấn đề này sau) Nếu bạn cần trợ giúp về SQL, bạn có thể tìm thấy tất cả những gì bạn cần tại đây. Cách sử dụng PHP với MySQL
Bây giờ, bạn cần kết nối với cơ sở dữ liệu từ tập lệnh PHP của mình Nếu bạn không biết cách, đây là tập lệnh kết nối PDO đơn giản mà bạn có thể sử dụng ngay Chỉ cần chỉnh sửa các tham số kết nối để làm cho nó hoạt động với môi trường của riêng bạn
Bây giờ bạn đã sẵn sàng để thêm người dùng mới vào bảng Đây là một ví dụ đầy đủ (pdo. php là tập lệnh chứa đoạn kết nối cơ sở dữ liệu trước đó)
Quan trọng. Trong ví dụ này, chúng tôi đã bỏ qua các bước xác thực, bao gồm
Cách thay đổi mật khẩu của người dùngVí dụ tiếp theo cho thấy cách thay đổi mật khẩu của người dùng hiện có Đầu tiên, lấy mật khẩu mới và tạo hàm băm của nó bằng password_hash()
Sau đó, cập nhật hàng của bảng có cùng ID tài khoản của người dùng hiện tại và đặt hàm băm mới Ghi chú. chúng tôi cho rằng biến $accountId chứa ID tài khoản
Cách sử dụng password_verify()Để xác minh mật khẩu do người dùng từ xa cung cấp, bạn cần sử dụng hàm password_verify() password_verify() nhận hai đối số
Nếu mật khẩu đúng, password_verify() trả về true Đây là một ví dụ
Quan trọng Bạn không thể chỉ so sánh hai giá trị băm khác nhau để xem chúng có khớp không Lý do là password_hash() tạo ra các giá trị băm muối Băm muối bao gồm một chuỗi ngẫu nhiên, được đặt tên là muối muối, như một biện pháp bảo vệ chống lại các cuộc tấn công từ điển và bảng cầu vồng Do đó, mọi hàm băm sẽ khác nhau ngay cả khi mật khẩu nguồn giống nhau
Hãy thử đoạn mã sau. Bạn sẽ thấy rằng hai giá trị băm khác nhau, ngay cả khi mật khẩu giống nhau
Ghi chú password_verify() chỉ hoạt động với các giá trị băm được tạo bởi password_hash() Bạn không thể sử dụng nó để kiểm tra mật khẩu đối với hàm băm MD5 hoặc SHA Cách tăng bảo mật bămBăm được tạo bởi password_hash() rất an toàn Nhưng bạn có thể làm cho nó mạnh hơn nữa bằng hai kỹ thuật đơn giản
chi phí BcryptBcrypt là thuật toán băm mặc định hiện tại được sử dụng bởi password_hash() Thuật toán này nhận một tham số tùy chọn có tên là “chi phí”. Giá trị chi phí mặc định là 10 Bằng cách tăng chi phí, bạn có thể làm cho hàm băm khó tính toán hơn. Chi phí càng cao, thời gian cần thiết để tạo hàm băm càng lâu Chi phí cao hơn khiến việc phá vỡ hàm băm trở nên khó khăn hơn. Tuy nhiên, nó cũng làm cho quá trình tạo băm và kiểm tra lâu hơn Vì vậy, bạn muốn tìm một sự thỏa hiệp giữa bảo mật và tải máy chủ Đây là cách bạn có thể đặt giá trị chi phí tùy chỉnh cho password_hash()
Nhưng bạn nên đặt giá trị chi phí nào? Một thỏa hiệp tốt là giá trị chi phí cho phép máy chủ của bạn tạo hàm băm trong khoảng 100 mili giây Đây là một thử nghiệm đơn giản để tìm giá trị này 0Khi bạn đã tìm thấy chi phí của mình, bạn có thể sử dụng nó mỗi khi bạn thực thi password_hash() như trong ví dụ trước
Luôn cập nhật giá trị băm của bạn với password_needs_rehash()Để hiểu bước này, hãy xem cách password_hash() hoạt động password_hash() nhận ba đối số
PHP hỗ trợ các thuật toán băm khác nhau, nhưng bạn thường muốn sử dụng thuật toán băm mặc định Bạn có thể chọn thuật toán mặc định bằng cách sử dụng hằng số PASSWORD_DEFAULT, như bạn đã thấy trong các ví dụ trước
Kể từ tháng 6 năm 2020, thuật toán mặc định là Bcrypt Tuy nhiên, PHP có thể thay đổi thuật toán mặc định trong tương lai, nếu một thuật toán tốt hơn và an toàn hơn được triển khai Khi điều đó xảy ra, hằng PASSWORD_DEFAULT sẽ trỏ đến thuật toán mới. Vì vậy, tất cả các giá trị băm mới sẽ được tạo bằng thuật toán mới Nhưng điều gì sẽ xảy ra nếu bạn muốn lấy tất cả các giá trị băm cũ của mình, được tạo bằng thuật toán trước đó và tự động tạo lại chúng bằng thuật toán mới?
Đây là lúc password_needs_rehash() phát huy tác dụng Hàm này kiểm tra xem một hàm băm đã được tạo bằng một thuật toán và tham số nhất định chưa Ví dụ 1Nếu thuật toán băm mặc định hiện tại khác với thuật toán dùng để tạo hàm băm, password_needs_rehash() sẽ trả về true password_needs_rehash() cũng kiểm tra xem thông số tùy chọn có khác không Điều này rất hữu ích nếu bạn muốn cập nhật giá trị băm của mình sau khi thay đổi một tham số như chi phí Bcrypt
Ví dụ này cho thấy cách bạn có thể tự động kiểm tra hàm băm mật khẩu và cập nhật nó nếu cần, khi người dùng từ xa đăng nhập 2Cách tự động chuyển đổi các giá trị băm cũTrong ví dụ này, bạn sẽ triển khai một tập lệnh đơn giản để tự động chuyển đổi các giá trị băm cũ, dựa trên MD5 thành các giá trị băm an toàn được tạo bằng password_hash() Đây là cách nó hoạt động
Đây là kịch bản 3Phần kết luậnTrong hướng dẫn này, bạn đã học cách sử dụng password_hash() và password_verify() để tạo các giá trị băm an toàn cho mật khẩu của mình (và tại sao bạn không nên sử dụng MD5) Bạn cũng đã học cách làm cho mật khẩu của mình được băm an toàn hơn bằng cách đặt chi phí Bcrypt phù hợp và tự động băm lại mật khẩu của bạn khi cần Mã hóa nào là tốt nhất cho PHP?Trước đây, PHP dựa vào mcrypt và openssl để mã hóa khóa bí mật . PHP7. 2 giới thiệu Natri, hiện đại hơn và được coi là an toàn hơn. Nếu bạn đang chạy phiên bản PHP cũ hơn, bạn có thể cài đặt Natri qua Thư viện cộng đồng tiện ích mở rộng PHP hay còn gọi là PECL.
Chúng tôi có thể giải mã SHA256 bằng PHP không?Vì việc sử dụng hàm băm mật mã có nghĩa là việc giải mã là không khả thi về mặt tính toán, nên bạn không thể thực hiện giải mã bằng SHA256 . Những gì bạn muốn sử dụng là chức năng hai chiều, nhưng cụ thể hơn là Mật mã khối. Một chức năng cho phép cả mã hóa và giải mã dữ liệu.
Phương pháp mã hóa mạnh nhất là gì?Mã hóa AES 256-bit là tiêu chuẩn mã hóa mạnh nhất và mạnh mẽ nhất hiện có trên thị trường.
Làm cách nào để mã hóa tên người dùng trong PHP?Các chức năng thường được sử dụng để mã hóa tên người dùng và mật khẩu trong php là md5(), sha1() và base64_encode . |