php 存储密码

使用phpass库来哈希和比较密码

在存入数据库之前进行哈希保护用户密码的标准方式。许多常用的哈希算法如md5,甚至是sha1 对于密码存储都是不安全的，因为骇客能够使用那些算法轻而易举的破解出原始密码。

对密码进行哈希最安全的方法是使用bcrypt算法。开源的phpass库以一个易于使用的类来提供 该功能。

示例：

<?php// Include the phpass libraryrequire_once('phpass-03/PasswordHash.php')// Initialize the hasher without portable hashes (this is more secure)$hasher = new PasswordHash(8, false);// Hash the password. $hashedPassword will be a 60-character string.$hashedPassword = $hasher->HashPassword('my super cool password');// You can now safely store the contents of $hashedPassword in your database!// Check if a user has provided the correct password by comparing what they// typed with our hash$hasher->CheckPassword('the wrong password', $hashedPassword);  // false$hasher->CheckPassword('my super cool password', $hashedPassword);  // true?>

陷阱

• 许多资源可能推荐你在哈希之前对你的密码“加盐”。想法很好，但phpass在HashPassword()函数中已经对你的密码“加盐”了，这意味着你不需要自己“加盐”。

进一步阅读

• phpass
• 为什么使用md5或sha哈希密码是不安全的
• 怎样安全地存储密码