PHP密码处理

作者：烨竹

加密规则

• 绝不要以明文存储密码，永远使用 哈希算法 来处理密码

• 绝不要使用 Base64 或其他编码方式来存储密码，

  这和以明文存储密码是一样的，使用 哈希 ，而不要使用 编码

  编码以及加密，都是双向的过程，而密码是保密的，应该只被它的所有者知道， 这个过程必须是单向的；哈希正是用于做这个的，从来没有解哈希这种说法， 但是编码就存在解码，加密就存在解密；

• 绝不要使用弱哈希或已被破解的哈希算法，像 MD5 或 SHA1

  这些算法太老了，而且被证明存在缺陷，它们一开始就并不是为了保存密码而设计的，另外，绝不要自己发明算法

  只使用强密码哈希算法，例如 BCrypt ，在 PHP 自己的 密码哈希 函数中也是使用它

• 绝不要以明文形式显示或发送密码

  即使是对密码的所有者也应该这样。如果你需要 "忘记密码" 的功能，可以随机生成一个新的 一次性的（这点很重要）密码，然后把这个密码发送给用户

• 绝不要对用户的密码做一些没必要的限制

  如果你使用除 BCrypt（它有最多 72 字符的限制）之外的其他哈希算法，你应该设置一个相对长一点的密码长度（例如 1024 字符），这样可以缓解 DoS 攻击

加密方式

MD5

$password = md5($_POST["password"]);

SHA256 和 SHA512

$password = hash("sha256", $password);

盐值;;对，我们在加密的时候其实会给加密的字符串添加一个额外的字符串，以达到提高一定安全的目的：

function generateHashWithSalt($password) {
    $intermediateSalt = md5(uniqid(rand(), true));
    $salt = substr($intermediateSalt, 0, 6);
    return hash("sha256", $password . $salt);
}

Bcrypt;;Bcrypt 其实就是Blowfish和crypt()函数的结合，我们这里通过CRYPT_BLOWFISH判断Blowfish是否可用，然后像上面一样生成一个盐值，不过这里需要注意的是，crypt()的盐值必须以$2a$或者$2y$开头
资料：http://php.net/manual/en/function.crypt.php

Password Hashing API

password_hash() – 对密码加密.
password_verify() – 验证已经加密的密码，检验其hash字串是否一致.
password_needs_rehash() – 给密码重新加密.
password_get_info() – 返回加密算法的名称和一些相关信息.

$hash = password_hash($passwod, PASSWORD_DEFAULT);

这里使用password_hash()你完全可以不提供盐值(salt)和 消耗值 (cost)，你可以将后者理解为一种性能的消耗值，cost越大，加密算法越复杂，消耗的内存也就越大。当然，如果你需要指定对应的盐值和消耗值，你可以这样写：

 custom_function_for_salt(),
     //write your own code to generate a suitable salt
    'cost' => 12 // the default cost is 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

密码加密过后，验证密码是否正确：

更改加密方式，更换盐值或者提高消耗值

 12])) {
    // cost change to 12
    $hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
 
    // don't forget to store the new hash!
}

password_get_info()查看加密信息

algo – 算法实例
algoName – 算法名字
options – 加密时候的可选参数