$flag = true ?返回原始流数据
true ?返回原始流数据
$algo : 算法名称,可通过hash_algos()函数获取所有hash加密的算法
而不同.
true ?返回原始流数据.
具体算法依赖于PHP检查之后支持的算法和$salt的格式和长度,当 然具体结果也和操作系统有关.比较结果采用 hash_equals($crypted,crypt($input,$salt));//且salt值相同
Password_verify($str,$crypted);
函数返回哈希加密后的密码字符串, password_hash() 是crypt()的 一个简单封装
$algo : 算法 PASSWORD_DEFAULT ,PASSWORD_BCRYPT
$options = [
"cost"=10,//指明算法递归的层数,
"salt"="xxadasdsad"//加密盐值,即将被遗 弃,采用系统自动随机生成安全性更高
];
使用的算法、cost 和盐值作为哈希的一部分返回
Password_verify($str,$hashed);
可以进行解码;
string $mode [, string $iv ] )
mcrypt_decrypt ( string $cipher , string $key , string $crypted ,
$ciper:加密算法,mcrypt_list_algorithms()可以获取该函数所有支持的算法
$mode : 加密模式 ,mcrypt_list_modes()获取所有支持的加密模式,ecb,cbc
$key: 加密的秘钥,mcrypt_get_key_size ( string $cipher , string $mode )
获取指定的算法和模式所需的密钥长度.$key要满足这个长度,如果长 度无效会报出警告.
$iv : 加密的初始向量,可通过mcrypt_create_iv ( int $size [, int $source = MCRYPT_DEV_URANDOM ] ),
Iv的参数size:
通过mcrypt_get_iv_size ( string $cipher , string $mode )获取
Iv 的参数source:
Note: 需要注意的是,如果没有更多可用的用来产生随机数据的信息, 那么 MCRYPT_DEV_RANDOM 可能进入阻塞状态.
$data : 要加密的字符串数据
在使用PHP开发Web应用的中,很多的应用都会要求用户注册,而注册的时候就需要我们对用户的信息进行处理了,最常见的莫过于就是邮箱和密码了,本文意在讨论对密码的处理:也就是对密码的加密处理.
他们的使用方法如下:
php
盐值
在加密的过程,我们还有一个非常常见的小伙伴:盐值.对,我们在加密的时候其实会给加密的字符串添加一个额外的字符串,以达到提高一定安全的目的:
Bcrypt
如果让我来建议一种加密方式的话,Bcrypt可能是我给你推荐的最低要求了,因为我会强烈推荐你后面会说到的Hashing API,不过Bcrypt也不失为一种比较不错的加密方式了.
function generateHash($password) {
}
更多资料可以看这里:
Hashing API
password_hash() – 对密码加密.
password_verify() – 验证已经加密的密码,检验其hash字串是否一致.
password_needs_rehash() – 给密码重新加密.
password_get_info() – 返回加密算法的名称和一些相关信息.
虽然说crypt()函数在使用上已足够,但是password_hash()不仅可以使我们的代码更加简短,而且还在安全方面给了我们更好的保障,所以,现在PHP的官方都是推荐这种方式来加密用户的密码,很多流行的框架比如Laravel就是用的这种加密方式.
$hash = password_hash($passwod, PASSWORD_DEFAULT);对,就是这么简单,一行代码,All done.
这里使用password_hash()你完全可以不提供盐值(salt)和 消耗值 (cost),你可以将后者理解为一种性能的消耗值,cost越大,加密算法越复杂,消耗的内存也就越大.当然,如果你需要指定对应的盐值和消耗值,你可以这样写:
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);密码加密过后,我们需要对密码进行验证,以此来判断用户输入的密码是否正确:
if (password_verify($password, $hash)) {
// Pass
else {
// Invalid
很简单的吧,直接使用password_verify就可以对我们之前加密过的字符串(存在数据库中)进行验证了.
然而,如果有时候我们需要更改我们的加密方式,如某一天我们突然想更换一下盐值或者提高一下消耗值,我们这时候就要使用到password_needs_rehash()函数了:
只有这样,PHP的Password Hashing API才会知道我们重现更换了加密方式,这样的主要目的就是为了后面的密码验证.
简单地说一下password_get_info(),这个函数一般可以看到下面三个信息:
algo – 算法实例
algoName – 算法名字
options – 加密时候的可选参数
Happy Hacking
输出:
第四种
string crypt ( string $str [, string $salt ] )
crypt() 返回一个基于标准 UNIX DES 算法或系统上其他可用的替代算法的散列字符串.
string sha1 ( string $str [, bool $raw_output = false ] )
string urlencode ( string $str )
PHP中的加密方式有如下几种
参数
str -- 原始字符串.
这是一种不可逆加密,执行如下的代码
str -- 待散列的字符串.
salt -- 可选的盐值字符串.如果没有提供,算法行为将由不同的算法实现决定,并可能导致不可预料的结束.
这是也一种不可逆加密,执行如下的代码
代码如下:
$salt = "test";// 只取前两个
echo crypt($password, $salt);
得到的结果是teMGKvBPcptKo
使用自动盐值的例子如下:
$password = crypt('mypassword'); // 自动生成盐值
if (crypt('mypassword', $password) == $password) {
echo "Password verified!";
执行结果是输出 Password verified!
以不同散列类型使用 crypt()的例子如下:
if (CRYPT_STD_DES == 1) {
echo 'Standard DES: ' . crypt('rasmuslerdorf', 'rl') . "\n";
if (CRYPT_EXT_DES == 1) {
if (CRYPT_BLOWFISH == 1) {
其结果如下
在 crypt() 函数支持多重散列的系统上,下面的常量根据相应的类型是否可用被设置为 0 或 1:
str -- 输入字符串.
这是也一种不可逆加密,执行如下代码:
echo sha1($password);
以上几种虽然是不可逆加密,但是也可以根据查字典的方式去解密.如下的地址中就提供了可以将上面的加密结果解密出来的功能.
那大家是不是加了就算加了密,也没用啊,其实不然,只要你的加密足够复杂,被破解出的可能性就越小,比如用以上三种加密方式混合加密,之后我会推荐给大家一个php的加密库.
此函数便于将字符串编码并将其用于 URL 的请求部分,同时它还便于将变量传递给下一页.
string urldecode ( string $str )
解码给出的已编码字符串中的任何 %##. 加号('+')被解码成一个空格字符.
这是一种可逆加密,urlencode方法用于加密,urldecode方法用于解密,执行如下代码:
$url = '';
$encodeUrl = urlencode($url);
echo $encodeUrl . "\n";// 如果是在网页上展示的,就将\n修改为
echo urldecode($encodeUrl);
得到的结果如下
function myUrlEncode($string) {
$replacements = array('!', '*', "'", "(", ")", ";", ":", "@", "", "=", "+", "$", ",", "/", "?", "%", "#", "[", "]");
return str_replace($entities, $replacements, urlencode($string));
data -- 编码过的数据.
执行如下代码:
$name = 'CraryPrimitiveMan';
echo $encodeName . "\n";
CraryPrimitiveMan
推荐phpass
对密码进行哈希最安全的方法是使用 bcrypt 算法.开源的 phpass 库以一个易于使用的类来提供该功能.
// Include phpass 库
// 初始化散列器为不可移植(这样更安全)
$hashedPassword = $hasher-HashPassword('my super cool password');
// 你现在可以安全地将 $hashedPassword 保存到数据库中!
// 通过比较用户输入内容(产生的哈希值)和我们之前计算出的哈希值,来判断用户是否输入了正确的密码
$hasher-CheckPassword('the wrong password', $hashedPassword); // false
$hasher-CheckPassword('my super cool password', $hashedPassword); // true