这是在 PHP 中存储密码的坏习惯吗？

Question

我正在使用 PHP 中的 crypt 函数来散列密码，显然还有盐。但是我通过在 date 函数上调用 md5 函数来生成我的盐。并且每次用户登录盐都会重新生成。

这有什么不好的吗？我对 PHP（和 webdev）还比较陌生，我正在尝试在部署此代码之前确保我的安全性。

$salt = md5(date('m/d/Y h:i:s a'));

Answer 1

许多人认为这是不好的做法。以下是（部分）原因：

1. 您正在使用 md5，一种弱、旧且快速的哈希计算方法。
2. 盐是以可预测的方式生成的。每个用户的盐应该不同（即使在同一秒注册），并且应该比日期更随机。
3. 您正在重新发明轮子。您正在使用 crypt 函数对密码进行哈希处理，因此没有理由不使用它来获取安全的盐。 password_hash() 是 PHP 5.5 的内置函数，compatibility library 用于稍早于该版本的版本。

How to use password_hash()

TL;DR：使用password_hash() 生成盐并对密码进行哈希处理，无需以不太安全的方式重新发明轮子。

Hobo Sapiens 首先提到了password_hash()。