技术频道

公众号推荐

微信公众号搜"智元新知"关注
微信扫一扫可直接关注哦！

php – password_verify和doveadm如何在没有盐的情况下验证密码

时间：2021-11-30分类：PHP作者：编程之家AI导航网

我目前正试图了解哈希和盐.据我了解,如果我只有密码和生成的哈希(用随机盐的生成)生成,则不应该验证密码.
那么,如果我不给它盐,那么PHP中的password_verify函数如何验证我的密码呢？在后台是否有一个隐藏变量,它存储它用于PHP散列函数？

如果是这样,怎么可能

doveadm pw -t '{SHA512-CRYPT}$6$myhash...' -p "qwertz"

验证它,即使我在完全不同的计算机上运行它？这是Dovecot(MDA)附带的工具.

这是我的PHP 代码,它创建一个包含64个字符的随机盐,将它与密码组合,创建一个哈希并通过password_verify()验证哈希.

我今天刚刚开始研究整个哈希/盐/胡椒的事情,所以在我的整个思路中可能存在一个巨大的缺陷.

<?PHP
$password = "qwertz";
$salt = createSalt(64);
$hash = crypt($password, "$6$$salt");

if (password_verify($password, $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}


function createSalt($length){
    $chars = "IrhsYyLofUKj4caz0fdbCe2W9NRunTgQvp7qOxms5GM3EJV6i8tAHdkPbxwl1Z";
    $salt="";
    for($i=0; $i < $length; $i++){
        $newchar = substr($chars, rand(0,strlen($chars)-1),1);
        $salt .= $newchar;
    }
    return $salt;
}
?>

哈希包含几条信息.这个article解释了Unix使用的格式,但我相信PHP密码函数使用类似的格式(如果不相同)：

The hash field itself is comprised of three different fields. They are
separated by ‘$’ and represent:

Some characters which represents the cryptographic hashing mechanism used to generate the actual hash

A randomly generated salt to safeguard against rainbow table attacks

The hash which results from joining the users password with the stored salt and running it through the hashing mechanism specified in
the first field

它还可以包括用于生成哈希的精确的每算法选项,例如算法成本：

var_dump(password_hash('foo', PASSWORD_BCRYPT, [
    'cost' => 8,
]));

06001

这里$2y $08 $意味着使用了成本为8的Bcrypt.

如果我们使用PHP / 7.2中提供的更新的Argon2,那么还有更多的参数：

$argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容，请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。

上一篇：PHP程序员的技术成长规划送给迷茫的下一篇：php – 存储MySQL凭据的安全方法

相关推荐

vue+thinkphp5实现微信扫码支付(NATIVE支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中NATIVE的支付实现流程与PC端实现扫码支付流程

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信扫码支付(APP支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中APP的支付的配置与实现流程

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信登录

前言之前做了微信登录，所以总结一下微信授权登录并获取用户信息这个功能的开发流程。配置 1.首先得在微信公众平台申请一下微信小程序账号并获取到小程序的AppID和AppSecret https://mp.weixin.qq.com/cgi-bin/loginpage?url=%2Fwxamp%2F

作者：我恨bug 时间：2024-07-30

【PHP】关于fastadmin框架中使用with进行连表查询时setEagerlyType字段的理解

FastAdmin是我第一个接触的后台管理系统框架。FastAdmin是一款开源且免费商用的后台开发框架，它基于ThinkPHP和Bootstrap两大主流技术构建的极速后台开发框架，它有着非常完善且强大的功能和便捷的开发体验，使我逐渐喜欢上了它。

作者：我恨bug 时间：2024-07-30

【workerman】uniapp+thinkPHP5使用GatewayWorker实现实时通讯

之前公司需要一个内部的通讯软件，就叫我做一个。通讯软件嘛，就离不开通讯了，然后我就想到了长连接。这里本人用的是GatewayWorker框架。

作者：我恨bug 时间：2024-07-30

uniapp+thinkphp5实现微信支付(JSAPI支付)

统一支付是JSAPI/NATIVE/APP各种支付场景下生成支付订单，返回预支付订单号的接口，目前微信支付所有场景均使用这一接口。下面介绍的是其中JSAPI的支付实现流程

作者：我恨bug 时间：2024-07-30

服务器优化必备：深入了解PHP8底层开发原理

服务器优化必备：深入了解PHP8底层开发原理

作者：编程之家时间：2023-09-11

Golang的网络编程：如何快速构建高性能的网络应用？

Golang的网络编程：如何快速构建高性能的网络应用？

作者：编程之家时间：2023-09-11

Golang和其他编程语言的对比：为什么它的开发效率更高？

Golang和其他编程语言的对比：为什么它的开发效率更高？

作者：编程之家时间：2023-09-11

PHP8底层开发原理揭秘：如何利用新特性创建出色的Web应用

PHP8底层开发原理揭秘：如何利用新特性创建出色的Web应用

作者：编程之家时间：2023-09-11

小编推荐

苹果市值2025年有望达4万亿美元