存储和检索 SHA-256 散列和加盐密码的正确方法

Question

这是我第一次尝试安全地存储密码，我想确保一切都正确完成。有人建议我将 SHA-256 散列与 salt 一起使用。

假设用户提交了完整的密码表单，我们通过

获取密码

$password = $_POST["password"];

什么是加盐 $password 并在其上使用 SHA-256 散列的正确方法，因此它可以存储在数据库中的密码字段“密码 CHAR(64)”中？

完成并存储后，我将如何将数据库中存储的值与登录表单中输入的用户进行比较？让我们假设 $loginPassword = $_POST["loginPassword"]; 是用户输入的内容。

Answer 1

您可以使用crypt() 函数为您添加盐，而不是使用 SHA 系列方法。

这是一个使用 PDO 的示例脚本（保存和登录）。

在数据库中保存密码

<?php
// Set the password
$password = 'mypassword';

// Get the hash, letting the salt be automatically generated
$hash = crypt($password);

echo $hash; // for testing purposes only

$mysql_username = 'username'; // for DB
$mysql_password = 'password'; // for DB

$dbh = new PDO('mysql:host=localhost;dbname=database_name', $mysql_username, $mysql_password);

$stmt = $dbh->prepare("INSERT INTO table_name (name,pass) VALUES (:name,:pass)");
$stmt->bindParam(':name', $name);
$stmt->bindParam(':pass', $pass);

// insert rows
// $name = $_POST['name'];
// $name = $_POST['pass'];

$name = "username";
$pass = $hash;
$stmt->execute();

登录脚本

<?php
$mysql_username = 'username'; // for DB
$mysql_password = 'password'; // for DB

$dbh = new PDO('mysql:host=localhost;dbname=database_name', $mysql_username, $mysql_password);

/*
$username = $_POST['username'];
$password = $_POST['password'];
*/

$username = "username";
$password = "mypassword";

$sql = "SELECT * FROM table_name WHERE name=:username";
$statement = $dbh->prepare($sql);
$statement->bindValue(':username',$username,PDO::PARAM_STR);

if($statement->execute())
{
    if($statement->rowCount() == 1)
    {
        $row = $statement->fetch(PDO::FETCH_ASSOC);

 if (crypt($password, $row['pass']) === $row['pass'])

        {
            $username = $row['name'];
            $email = $row['email'];

echo "Stage 1";

echo "<hr noshade size=\"1\">";

echo "Hello " .$username;

            exit;
        }
        else
        {
            // include "error_login.php";

echo "Stage 2 - ERROR";

        }
    }
    else
    {
       // include "error_login.php";

echo "Stage 3 error";
    }
}

Answer 2

如果您使用的是 PHP 5.5 或更高版本，则有内置的 password_hash() 和 password_verify() 以及 Bcrypt - 如果您使用的是 PHP 5.3.7 或更高版本，则有 password_compat 兼容性库；这一切都是根据PHP.net Safe Password Hashing FAQ entry。

基本上，在 PHP 5.3.7 及更高版本上，将旧的 crypt() 替换为 password_hash() 和 password_verify()。

有关成本选择的更多详细信息，请参阅my answer to PHP Secure password generation and storage，但归结为非常简单：

<?php
/**
 * In this case, we want to increase the default cost for BCRYPT to 12.
 * Note that we also switched to BCRYPT, which will always be 60 characters.
 */
$options = [
    'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";
?>

生成哈希，然后存储输出字符串，然后验证：

<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}
?>

这两个例子都来自PHP.net Password Hashing page。