我在想,
password_hash("自定义密码", PASSWORD_BCRYPT)
是否足够安全地存储密码到数据库中,或者我是否应该添加更多的SALT(例如用户的用户名/电子邮件/出生日期等)。谢谢!password_hash("自定义密码", PASSWORD_BCRYPT)
是否足够安全地存储密码到数据库中,或者我是否应该添加更多的SALT(例如用户的用户名/电子邮件/出生日期等)。谢谢!microtime
在哈希之前保存开始时间,然后再次使用microtime
在哈希之后查看所需时间。PHP文档页面上还有一个很好的示例,说明如何计算成本:http://docs.php.net/manual/en/function.password-hash.php,请参见示例#4。 - AJReading
password_hash()
已经实现了这个功能,它会从操作系统的随机源生成一个安全的盐值,并将其添加到结果哈希字符串中。你无法自己生成更好的盐值,因此不应该将其传递给函数。 - martinstoeckli