基于bcrypt算法-开源phpass库来保护密码

Apr 9, 2014

在存入数据库之前进行哈希计算成为保护用户密码的标准方式，许多常用的哈希算法如md5,甚至是sha1 对于密码存储都是不安全的，因为骇客能够使用那些算法轻而易举地破解密码。

对密码进行哈希最安全的方法是使用bcrypt算法。开源的phpass库以一个易于使用的类来提供该功能。

&lt;?php
// Include the phpass library
require_once('phpass-03/PasswordHash.php')

// Initialize the hasher without portable hashes (this is more secure)
$hasher = new PasswordHash(8, false);

// Hash the password. $hashedPassword will be a 60-character string.
$hashedPassword = $hasher-&gt;HashPassword('my super cool password');

// You can now safely store the contents of $hashedPassword in your database!

// Check if a user has provided the correct password by comparing what they
// typed with our hash
$hasher-&gt;CheckPassword('the wrong password', $hashedPassword);  // false

$hasher-&gt;CheckPassword('my super cool password', $hashedPassword);  // true
?&gt;

需要注意的是phpass在HashPassword()函数中已经对你的密码“加盐”了，这意味着你不需要自己“加盐”。

有兴趣的朋友可以阅读下面两篇文章，都是鸟文~

为什么使用md5或sha哈希密码是不安全的

怎样安全地存储密码