根据
crypt() documentation,盐需要从字母“./0-9A-Za-z”的22个64位数字.
这是他们给出的代码示例:
crypt('rasmuslerdorf','$2a$07$usesomesillystringforsalt$');
第一个令人困惑的部分是盐有25个字符,而不是22.
问题1:这是否意味着盐应该长于22个字符?
然后我自己测试了这个功能,注意到了一些.如果我使用20个字符的盐,我得到这个
// using 20 char salt: 00000000001111111111
crypt('rasmuslerdorf','$2a$07$00000000001111111111$');
// $2a$07$00000000001111111111$.6Th1f3O1SYpWaEUfdz7ieidkQOkGKh2
所以,当我使用一个20字符的盐,整个盐在输出.这是方便的,因为我不必将盐分存放在一个单独的地方. (我想用随机盐).我可以从生成的哈希中读出盐.
但是,如果我使用22个字符的盐作为文件说,或更长的盐,盐被切断在最后.
// using 22 char salt: 0000000000111111111122
crypt('rasmuslerdorf','$2a$07$0000000000111111111122$');
// $2a$07$000000000011111111112uRTfyYkWmPPMWDRM/cualulrBkhVglui
// 22nd character of the salt is gone
// using 25 char salt: 0000000000111111111122222
crypt('rasmuslerdorf','$2a$07$0000000000111111111122222$');
// $2a$07$000000000011111111112uRTfyYkWmPPMWDRM/cualulrBkhVglui
// Same hash was generated as before,21 chars of the salt are in the hash
问题2:那么盐的适当长度究竟是多少? 20? 22?更长?
问题3:另外,当查询密码的时候,读取哈希的盐是个好主意吗?而不是将盐储存在一个单独的领域,并从那里读取它. (这似乎是多余的,因为盐似乎包含在哈希中).
Blowfish盐应该是22个字符长(包括尾随$,所以21) – 你可以使用var_dump(CRYPT_SALT_LENGTH)进行双重检查,现在我无法验证,但是我的猜测是,较少的字符将返回一个错误,更多的字符将被截断.
关于你的第三个问题:是的,你应该使用哈希本身的嵌入盐(和成本)参数读取和检查哈希.
原文地址:https://www.jb51.cc/php/131449.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
