你好,如您所知,PHP最近在最新版本中引入了password_hash内置函数。文档中说:
如果省略,则会创建一个随机盐并使用默认成本。
问题是它使用什么方法添加盐?
我很感兴趣,因为我想知道盐是否是随机创建的,这样当我存储我的哈希密码时,它们就是始终唯一的。
PHP的password_hash如何生成盐?
3
- Sandro Antonucci
1个回答
9
盐值是随机生成的。它们应该在统计学上是唯一的。
想要了解如何生成,请查看C源代码。
在Windows平台上,它将尝试使用php_win32_get_random_bytes()来生成盐值:
BYTE *iv_b = (BYTE *) buffer;
if (php_win32_get_random_bytes(iv_b, raw_length) == SUCCESS) {
buffer_valid = 1;
}
在Linux上,为了生成盐值,它将尝试读取
/dev/urandom:int fd, n;
size_t read_bytes = 0;
fd = open("/dev/urandom", O_RDONLY);
if (fd >= 0) {
while (read_bytes < raw_length) {
n = read(fd, buffer + read_bytes, raw_length - read_bytes);
if (n < 0) {
break;
}
read_bytes += (size_t) n;
}
close(fd);
}
if (read_bytes >= raw_length) {
buffer_valid = 1;
}
然后,在这两种情况之后,如果缓冲区无效(不是满的,可能是部分的),就使用rand()函数来填充它。请注意,实际上这种情况应该永远不会发生,这只是一种备选方案:
if (!buffer_valid) {
for (i = 0; i < raw_length; i++) {
buffer[i] ^= (char) (255.0 * php_rand(TSRMLS_C) / RAND_MAX);
}
}
如果 C 语言不是你的强项,那么相同的逻辑和算法也在 PHP 中实现了我的兼容库中:
$buffer = '';
$raw_length = (int) ($required_salt_len * 3 / 4 + 1);
$buffer_valid = false;
if (function_exists('mcrypt_create_iv')) {
$buffer = mcrypt_create_iv($raw_length, MCRYPT_DEV_URANDOM);
if ($buffer) {
$buffer_valid = true;
}
}
if (!$buffer_valid && function_exists('openssl_random_pseudo_bytes')) {
$buffer = openssl_random_pseudo_bytes($raw_length);
if ($buffer) {
$buffer_valid = true;
}
}
if (!$buffer_valid && is_readable('/dev/urandom')) {
$f = fopen('/dev/urandom', 'r');
$read = strlen($buffer);
while ($read < $raw_length) {
$buffer .= fread($f, $raw_length - $read);
$read = strlen($buffer);
}
fclose($f);
if ($read >= $raw_length) {
$buffer_valid = true;
}
}
if (!$buffer_valid || strlen($buffer) < $raw_length) {
$bl = strlen($buffer);
for ($i = 0; $i < $raw_length; $i++) {
if ($i < $bl) {
$buffer[$i] = $buffer[$i] ^ chr(mt_rand(0, 255));
} else {
$buffer .= chr(mt_rand(0, 255));
}
}
}
唯一的区别是,如果已安装
mcrypt或openssl,PHP版本将使用它们...- ircmaxell
1
如果盐是随机的,我们如何以后解密它。hash(data+random-salt1) != hash(data+random-salt2)??它是如何工作的?拜托了。这让我很头疼,无法理解。 - habibhassani
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 5 PHP问题:password_hash函数无法生成盐
- 4 PHP的password_hash():公共一次性盐 vs 私有固定盐。
- 4 PHP password_hash函数中盐值的长度是21还是22?
- 8 PHP password_hash(),使用默认盐还是自定义盐?
- 6 使用PHP的mt_rand()生成哈希盐的安全性如何?
- 11 PHP password_hash(), password_verify()
- 3 PHP 5.5的新password_hash函数中随机生成的密码盐有什么用处?
- 8 password_hash中的盐值存储在哪里?
- 18 在PHP中生成盐值
- 9 理解PHP password_hash中使用的bcrypt盐