我试图在PHP中生成随机密码。
然而,我得到的都是 'a',返回类型是数组类型,而我想要它是字符串类型。有什么办法可以纠正代码吗?
谢谢。
function randomPassword() {
$alphabet = "abcdefghijklmnopqrstuwxyzABCDEFGHIJKLMNOPQRSTUWXYZ0123456789";
for ($i = 0; $i < 8; $i++) {
$n = rand(0, count($alphabet)-1);
$pass[$i] = $alphabet[$n];
}
return $pass;
}
安全警告:
rand()不是一个加密安全的伪随机数生成器。在 PHP 中寻找其他 生成加密安全的伪随机字符串。
尝试以下代码(使用 strlen 替代 count,因为对于字符串而言,count 总是返回 1):
function randomPassword() {
$alphabet = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890';
$pass = array(); //remember to declare $pass as an array
$alphaLength = strlen($alphabet) - 1; //put the length -1 in cache
for ($i = 0; $i < 8; $i++) {
$n = rand(0, $alphaLength);
$pass[] = $alphabet[$n];
}
return implode($pass); //turn the array into a string
}
$pass .= $alphabet[$n] 更为简单直接。 - Matthewopenssl_random_pseudo_bytes()代替rand()。 - Sorry-Im-a-N00brandom_int()和下面给出的random_str()。random_int(),请使用random_compat。由于你正在生成密码,因此需要确保生成的密码是不可预测的。确保您的实现中具有此属性存在的唯一方法是使用密码学安全伪随机数生成器(CSPRNG)。
CSPRNG的要求可以放宽为普通情况下的随机字符串,但涉及到安全时不能这样做。
在PHP中生成密码的简单、安全、正确答案是使用RandomLib而不是重新发明轮子。该库已经由行业安全专家以及我本人进行了审核。
对于喜欢自己创造解决方案的开发人员,PHP 7.0.0将提供random_int()来解决此问题。如果您仍在使用PHP 5.x,可以使用我们编写的PHP 5兼容性包装器以使用新API。在PHP 7发布之前使用我们的random_int()兼容性包装器可能比编写自己的实现更安全。
有了一个安全的随机整数生成器,生成安全的随机字符串比吃派更容易:
<?php
/**
* Generate a random string, using a cryptographically secure
* pseudorandom number generator (random_int)
*
* For PHP 7, random_int is a PHP core function
* For PHP 5.x, depends on https://github.com/paragonie/random_compat
*
* @param int $length How many characters do we want?
* @param string $keyspace A string of all possible characters
* to select from
* @return string
*/
function random_str(
$length,
$keyspace = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'
) {
$str = '';
$max = mb_strlen($keyspace, '8bit') - 1;
if ($max < 1) {
throw new Exception('$keyspace must be at least two characters long');
}
for ($i = 0; $i < $length; ++$i) {
$str .= $keyspace[random_int(0, $max)];
}
return $str;
}
我知道你正在尝试以特定方式生成密码,但你可能也想看看这种方法...
$bytes = openssl_random_pseudo_bytes(2);
$pwd = bin2hex($bytes);
这段内容来自php.net网站,它创建了一个字符串,该字符串的长度是您在openssl_random_pseudo_bytes函数中输入数字的两倍。因此,上面的代码将创建一个密码,长度为4个字符。
简而言之...
$pwd = bin2hex(openssl_random_pseudo_bytes(4));
创建一个8个字符长的密码。
请注意,该密码只包含数字0-9和小写字母a-f!
openssl_random_pseudo_bytes()是一个强大的完整二进制字节随机生成器,不需要任何进一步的洗牌。此外,我想指出,假设堆叠多个加密方法会使任何东西更随机是危险的,在某些情况下,由于累积哈希碰撞,实际上可能恰恰相反。 - Havenard仅用两行代码的微小程序。
演示: http://codepad.org/5rHMHwnH
function rand_string( $length ) {
$chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
return substr(str_shuffle($chars),0,$length);
}
echo rand_string(8);
使用rand_string函数,你可以定义需要生成多少个字符。
substr(str_shuffle(str_repeat($chars,$length)),0,$length); - Charles-Édouard Coste如果你使用的是PHP7,你可以使用random_int()函数:
function generate_password($length = 20){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'.
'0123456789`-=~!@#$%^&*()_+,./<>?;:[]{}\|';
$str = '';
$max = strlen($chars) - 1;
for ($i=0; $i < $length; $i++)
$str .= $chars[random_int(0, $max)];
return $str;
}
以下是旧回答:
function generate_password($length = 20){
$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'.
'0123456789`-=~!@#$%^&*()_+,./<>?;:[]{}\|';
$str = '';
$max = strlen($chars) - 1;
for ($i=0; $i < $length; $i++)
$str .= $chars[mt_rand(0, $max)];
return $str;
}
mt_rand生成密码。 - CodesInChaossubstr(str_shuffle('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789') , 0 , 10 )
你最好的选择是使用ircmaxell的RandomLib库。
使用示例:
$factory = new RandomLib\Factory;
$generator = $factory->getGenerator(new SecurityLib\Strength(SecurityLib\Strength::MEDIUM));
$passwordLength = 8; // Or more
$randomPassword = $generator->generateString($passwordLength);
它生成的字符串比普通的随机函数(例如shuffle()和rand())更具强度随机性,这是您在处理诸如密码、盐和密钥等敏感信息时所需的。
rand()或mt_rand()。 - Scott Arciszewskirandom_bytes相比如何),但这并不意味着rand的答案是错误的。 - Cerbrusrand()的回答是不正确的。它们本身就是错误的! - Deduplicator这个答案将规避count/strlen问题,因为生成的密码的安全性至少在我的看法中超越了你如何得到它。我还假设PHP > 5.3.0。
让我们将问题分解成组成部分:
首先,PHP > 5.3.0 提供了函数 openssl_random_pseudo_bytes。请注意,虽然大多数系统使用的是加密强度较高的算法,但您仍需要进行检查,因此我们将使用一个包装器:
/**
* @param int $length
*/
function strong_random_bytes($length)
{
$strong = false; // Flag for whether a strong algorithm was used
$bytes = openssl_random_pseudo_bytes($length, $strong);
if ( ! $strong)
{
// System did not use a cryptographically strong algorithm
throw new Exception('Strong algorithm not available for PRNG.');
}
return $bytes;
}
base64_encode,因为它接受一个字节字符串并生成一系列字符,其字母表非常接近原始问题中指定的字母表。如果我们不介意在最终字符串中出现+、/和=字符,并且希望结果至少有$n个字符长,我们可以简单地使用:base64_encode(strong_random_bytes(intval(ceil($n * 3 / 4))));
3/4的因子是由于base64编码导致的字符串长度至少比字节字符串大三分之一。结果将对$n是4的倍数的情况精确,否则会多出3个字符。由于额外的字符主要是填充字符=,如果我们有一个确切长度的密码约束,则可以将其截断到所需长度。这特别适用于给定的$n,所有密码都以相同数量的这些字符结尾,因此访问结果密码的攻击者将少猜测2个字符。
$dirty_pass = base64_encode(strong_random_bytes(8)));
$pass = substr(str_replace(['/', '+', '='], ['', '', ''], $dirty_pass, 0, 8);
=在中间结果中所占比例会越来越小,因此,如果担心耗尽用于PRNG的熵池,则可以实现更精简的方法。openssl_random_pseudo_bytes 可能会产生弱结果。我之前并没有意识到这一点。 - Jeremystrlen($alphabet)而不是常量alphabet的count(等同于'alphabet')。rand不适合此目的。其输出易被预测,因为它会隐式地使用当前时间进行种子初始化。此外,rand不能保证密码安全,因此相对容易从输出中确定其内部状态。/dev/urandom读取以获取密码学上的随机数据。变得更聪明:
function strand($length){
if($length > 0)
return chr(rand(33, 126)) . strand($length - 1);
}
在线检查请点击这里。