PHP實現(xiàn)基于PBKDF2標準的password_hash和password_verify函數(shù)是怎樣的

PHP實現(xiàn)基于PBKDF2標準的password_hash和password_verify函數(shù)是怎樣的，很多新手對此不是很清楚，為了幫助大家解決這個難題，下面小編將為大家詳細講解，有這方面需求的人可以來學習下，希望你能有所收獲。

最近國家對網(wǎng)絡安全要求很嚴格，我們產品的合作伙伴要求我們使用PBKDF2標準來存儲密碼。由于對這個標準不熟悉，于是我做了點功課。

一個基本的常識，用戶的密碼不能明文存儲，不然，一旦黑客獲取到了數(shù)據(jù)庫信息，密碼就直接泄露了。

升級一點，密碼直接使用sha1或者更高安全的sha2算法，生成散列值，存入數(shù)據(jù)庫，大部分的密碼存儲就是這樣設計的。這樣是否就足夠安全了呢？

不是，因為黑客依然可以使用彩虹表和暴力破解的方式破解密碼。

要解決這兩個問題，就要做到以下兩點：

1. 密碼生成過程中加入隨機salt，做到同一個密碼每次hash值都不同，使彩虹表失效。

2. 加密算法的運行速度相對比較慢，這樣會使黑客的暴力破解成本增加。

目前主流的密碼存儲算法有bcrypt和PBKDF2等，PHP從5.5開始加入了password_hash和password_verify函數(shù)，內置支持了bcrypt算法，如果想加強密碼存儲的安全性，對算法沒有特別要求，可以直接使用。

然而對于需要使用PBKDF2標準處理加密存儲，就沒有現(xiàn)成的函數(shù)可以使用了，不過PHP在5.5開始加入了hash_pbkdf2函數(shù)，于是使用這個函數(shù)我實現(xiàn)了基于PBKDF2標準的password_hash以及password_verify函數(shù)。代碼如下：

function password_hash_pbkdf2($password){
    $iterations=1000;
    $length=30;
    $salt = openssl_random_pseudo_bytes(8);
    $salt_encode=base64_encode($salt);
    $hash = hash_pbkdf2("sha256", $password, $salt, $iterations, $length);
    return $hash.$salt_encode;
}

function password_verify_pbkdf2($password,$hash){
    $iterations=1000;
    $length=30;
    $passhash=substr($hash,0,$length);
    $salt=base64_decode(substr($hash,$length));
    $passhash3=hash_pbkdf2("sha256", $password, $salt, $iterations, $length);
    if($passhash==$passhash3){
        return true;
    }
    return false;
}

看完上述內容是否對您有幫助呢？如果還想對相關知識有進一步的了解或閱讀更多相關文章，請關注億速云行業(yè)資訊頻道，感謝您對億速云的支持。