php怎么給密碼加鹽

什么叫給密碼“加鹽”？如何安全的為你的用戶密碼“加鹽”？

在面對(duì)這個(gè)網(wǎng)絡(luò)世界的時(shí)候，密碼安全總是各個(gè)公司和用戶都非常關(guān)心的一個(gè)內(nèi)容，畢竟現(xiàn)在大家不管是休閑娛樂還是學(xué)習(xí)購物都是通過網(wǎng)上的帳號(hào)來進(jìn)行消費(fèi)的，所以我們通常會(huì)給用戶的密碼進(jìn)行加密。在加密的時(shí)候，經(jīng)常會(huì)聽到“加鹽”這個(gè)詞，這是什么意思呢？

我們通常會(huì)將用戶的密碼進(jìn)行 Hash 加密，如果不加鹽，即使是兩層的 md5 都有可能通過彩虹表的方式進(jìn)行破譯。彩虹表就是在網(wǎng)上搜集的各種字符組合的 Hash 加密結(jié)果。而加鹽，就是人為的通過一組隨機(jī)字符與用戶原密碼的組合形成一個(gè)新的字符，從而增加破譯的難度。就像做飯一樣，加點(diǎn)鹽味道會(huì)更好。

接下來，我們通過代碼來演示一種比較安全的加鹽方式。

首先，我們建一個(gè)簡單的用戶表。這個(gè)表里只有四個(gè)字段，在這里僅作為測(cè)試使用。

CREATE TABLE `zyblog_test_user` (
    `id` int(11) NOT NULL AUTO_INCREMENT,
    `username` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '用戶名',
    `password` varchar(255) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '密碼',
    `salt` char(4) COLLATE utf8mb4_bin DEFAULT NULL COMMENT '鹽',
    PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_bin; 

然后定義兩個(gè)方式，一個(gè)用來生成鹽，一個(gè)用來生成加鹽后的 Hash 密碼。

/**
 * 隨機(jī)生成四位字符串的salt
 * 也可以根據(jù)實(shí)際情況使用6位或更長的salt
 */
function generateSalt()
{
    // 使用隨機(jī)方式生成一個(gè)四位字符
    $chars = array_merge(range('A', 'Z'), range('a', 'z'), range('0', '9'));
    for ($i = 0; $i < 4; $i++) {
        $str .= $chars[mt_rand(0, count($chars) - 1)];
    }
    return $str;
}

/**
 * 密碼生成
 * 使用兩層hash，將salt加在第二層
 * sha1后再加salt然后再md5
 */
function generateHashPassword($password, $salt)
{
    return md5(sha1($password) . $salt);
} 

generateSalt() 方法很簡單，就是生成一個(gè)隨機(jī)的四位字符的字符串，我們使用大小寫加數(shù)字的形式生成這個(gè)字符串。這就是傳說中的“鹽”。

接下來我們就可以使用 generateHashPassword() 方法為用戶的原密碼加鹽。在這里我們第一層先使用 sha1() 對(duì)原密碼進(jìn)行一次 Hash ，然后使用這個(gè) Hash 值拼接鹽字符串后再進(jìn)行 md5() 加密。最后加密出來的 Hash 值就很難在彩虹表中找到了。即使找到，也只是上層 sha1() 拼接鹽字符串的內(nèi)容，用戶的原文密碼畢竟還有一層加密。

剩下的就是我們進(jìn)行出入庫的注冊(cè)登錄測(cè)試了。

$pdo = new PDO('mysql:host=localhost;dbname=blog_test;charset=utf8mb4', 'root', '');

$username = 'ZyBlog1';
$password = '123456';

// 注冊(cè)
function register($username, $password)
{
    global $pdo;

    // 首先判斷用戶是否已注冊(cè)
    $pre = $pdo->prepare("SELECT COUNT(id) FROM zyblog_test_user WHERE username = :username");
    $pre->bindParam(':username', $username);
    $pre->execute();
    $result = $pre->fetchColumn();

    // 如果用戶名存在，則無法注冊(cè)
    if ($result > 0) {
        echo '用戶名已注冊(cè)！', PHP_EOL;
        return 0;
    }

    // 生成salt
    $salt = generateSalt();
    // 密碼進(jìn)行加鹽hash處理
    $password = generateHashPassword($password, $salt);

    // 插入新用戶
    $pre = $pdo->prepare("insert into zyblog_test_user(username, password, salt) values(?, ?, ?)");

    $pre->bindValue(1, $username);
    $pre->bindValue(2, $password);
    $pre->bindValue(3, $salt);

    $pre->execute();

    return $pdo->lastInsertId();
}

$userId = register($username, $password);
if ($userId > 0) {
    echo '注冊(cè)成功！用戶ID為：' . $userId, PHP_EOL;
}

// 注冊(cè)成功！用戶ID為：1

// 查詢數(shù)據(jù)庫中的數(shù)據(jù)
$sth = $pdo->prepare("SELECT * FROM zyblog_test_user");
$sth->execute();

$result = $sth->fetchAll(PDO::FETCH_ASSOC);
print_r($result);

// Array
// (
//     [0] => Array
//         (
//             [id] => 1
//             [username] => ZyBlog1
//             [password] => bbff8283d0f90625015256b742b0e694
//             [salt] => xOkb
//         )

// )

// 登錄時(shí)驗(yàn)證
function login($username, $password)
{
    global $pdo;
    // 先根據(jù)用戶名查表
    $pre = $pdo->prepare("SELECT * FROM zyblog_test_user WHERE username = :username");
    $pre->bindParam(':username', $username);
    $pre->execute();
    $result = $pre->fetch(PDO::FETCH_ASSOC);

    // 用戶名存在并獲得用戶信息后
    if ($result) {
        // 根據(jù)用戶表中的salt字段生成hash密碼
        $password = generateHashPassword($password, $result['salt']);

        // 比對(duì)hash密碼確認(rèn)登錄是否成功
        if ($password == $result['password']) {
            return true;
        }
    }
    return false;
}

$isLogin = login($username, $password);
if ($isLogin) {
    echo '登錄成功！', PHP_EOL;
} else {
    echo '登錄失敗，用戶名或密碼錯(cuò)誤！', PHP_EOL;
}

// 登錄成功！