我想生成一个随机盐,然后将它与密码一起存储在用户数据库中。所以我认为是这样的。
$salt = //random salt code
$hpassword = crypt($password,$salt)
【问题讨论】:
crypt 对盐值有非常具体的要求。您想使用哪种散列?
标签: php hash passwords salt saltedhash
PHP 5.5 版将内置支持 BCrypt、函数password_hash() 和password_verify()。对于 PHP 5.3.7 及更高版本,存在 compatibility pack,您可以在其中找到如何使用函数 mcrypt_create_iv() 创建盐的良好实现,请参见第 86 行和第 121 行。
由于这个兼容包,你也应该考虑直接使用这个函数,而不是自己写,在这里你可以找到一个example。尤其是为 BCrypt 创建盐是一件棘手的事情,而且会犯很多错误。
附:盐应该尽可能随机(从操作系统的随机源读取),因为这是在确定性计算机上使其唯一和不可预测的最佳方式。
【讨论】:
尝试散列现有字段(例如用户名)并将其用于盐。
【讨论】: