コアポイント

• PHP 5.5パスワードハッシュAPIは、パスワードをハッシュする場合は、パスワードをハッシュ値で検証するためのパスワードを単純化します。パスワードをハッシュ値で確認する場合は、パスワードを再度再施行する必要があるかどうかを確認するために、password_hash() >ハッシュアルゴリズムの名前とハッシュプロセスで使用されるさまざまなオプションを返すために使用されます。 password_verify() password_needs_rehash()このAPIは、デフォルトでBCRyptアルゴリズムを使用し、開発者がそれを提供する必要なく塩値の生成を自動的に処理します。ただし、開発者は、3番目のパラメーターをpassword_get_info()関數(shù)に渡すことで、獨自の塩またはコスト値を提供できます。
• このAPIは非常に安全であると考えられていますが、包括的なセキュリティポリシーの一部として使用することをお勧めします。 PHP 5.3.7以降を使用する開発者は、PHPバージョンが5.5にアップグレードされた後、APIをエミュレートし、自動的に無効にするpassword_hash()と呼ばれるライブラリを使用できます。
• BCRYPTの使用は現(xiàn)在、最高のパスワードハッシュプラクティスとして認識されていますが、多くの開発者はまだMD5やSHA1などの古いアルゴリズムと弱いアルゴリズムを使用しています。一部の開発者は、ハッシュするときに塩を使用しません。 PHP 5.5の新しいハッシュAPIは、複雑さを隠しながらBCRyptに注意を向けるように設計されています。この記事では、PHP New Hash APIを使用することの基本について説明します。新しいパスワードハッシュAPIは、4つの単純な関數(shù)を公開します：password_compat

- パスワードをハッシュするために使用されます。

• - ハッシュ値に基づいてパスワードを確認するために使用されます。 password_hash()
• - パスワードを再ハッシュするときに使用します。 password_verify()
• - ハッシュアルゴリズムの名前とハッシュプロセスで使用されるさまざまなオプションを返します。 password_needs_rehash()
• password_get_info()

関數(shù)は安全ですが、多くの人はそれが複雑すぎてエラーが発生しやすいと考えています。その後、一部の開発者は、弱い塩と弱いアルゴリズムを使用して、次のようなハッシュを生成します。 password_hash()

ただし、

関數(shù)は私たちの作業(yè)を簡素化し、コードを安全に保つことができます。ハッシュパスワードが必要な場合は、関數(shù)に渡すだけで、データベースに保存できるハッシュ値が返されます。 crypt()

<?php $hash = md5($password . $salt); // 可行，但危險

それだけです！最初のパラメーターは、パスワード文字列を持つもので、2番目のパラメーターは、ハッシュを生成するために適用されるアルゴリズムを指定します。現(xiàn)在のデフォルトアルゴリズムはBCRYPTですが、將來的にはデフォルトアルゴリズムとしてより強力なアルゴリズムを追加し、大きな文字列を生成する可能性があります。プロジェクトでPASSWORD_DEFAULTを使用している場合は、60文字以上の容量のある列にハッシュを保存してください。列サイズを255に設定するのが良いかもしれません。 2番目のパラメーターとしてPASSWORD_BCRYPTを使用することもできます。この場合、結果は常に60文字の長さです。ここでは、塩の価値やコストパラメーターを提供する必要がないことが重要です。新しいAPIは、これらすべてを処理します。塩はハッシュの一部なので、個別に保存する必要はありません。獨自の塩（またはコスト）を提供したい場合は、3番目のパラメーター（オプション配列）を関數(shù)に渡すことで実行できます。

<?php $hash = password_hash($password, PASSWORD_DEFAULT);

この方法では、最新のセキュリティ対策をいつでも使用できます。 PHPが後でより強力なハッシュアルゴリズムを実裝することを決定した場合、コードはそれを活用できます。

password_verify()

新しいAPIを使用してハッシュを生成する方法を學んだので、パスワードを確認する方法を見てみましょう。ハッシュをデータベースに保存することを忘れないでください。ただし、ユーザーがログインするときに入手できるのは単純なテキストパスワードです。

関數(shù)は、単純なテキストパスワードとハッシュ文字列をその2つのパラメーターとして取得します。ハッシュが指定されたパスワードと一致する場合、trueを返します。 password_verify()

<?php $options = [
    'salt' => custom_function_for_salt(), //編寫您自己的代碼以生成合適的鹽
    'cost' => 12 // 默認成本為 10
];
$hash = password_hash($password, PASSWORD_DEFAULT, $options);

塩はハッシュパスワードの一部であることを忘れないでください。そのため、ここで個別に指定しないのです。

password_needs_rehash()

ハッシュストリングの塩とコストのパラメーターを変更する必要がある場合はどうすればよいですか？これは、より強い塩またはより大きなコストパラメーターを追加することで安全性を改善することを決定する可能性があるため、これは懸念事項です。さらに、PHPはハッシュアルゴリズムのデフォルトの実裝を変更する場合があります。これらすべての場合、既存のパスワードを再ハッシュする必要があります。

password_needs_rehash()

指定されたハッシュが特定のアルゴリズムを実裝し、作成時に特定のオプション（コストや塩など）を使用するかどうかを確認するのに役立ちます。

<?php if (password_verify($password, $hash)) {
    // 成功！
} else {
    // 無效的憑據(jù)
}

ユーザーがWebサイトにログインしようとするとき、これを行う必要があることを忘れないでください。

password_get_info()

ハッシュを受け入れ、3つの要素を含む連想配列を返します。 password_get_info()

- 特定のアルゴリズムを識別する定數(shù)
• algo
- 使用されたアルゴリズムの名前
• algoName
- ハッシュを生成するときに使用されるさまざまなオプション
• options

結論

新しいパスワードハッシュAPIは、crypt()関數(shù)を使用するよりも使いやすいです。あなたのウェブサイトが現(xiàn)在PHP 5.5で実行されている場合は、新しいハッシュAPIを使用することを強くお勧めします。 PHP 5.3.7（またはそれ以降）を使用している人は、PHPバージョンが5.5にアップグレードされた後、APIをエミュレートし、自動的に無効にするpassword_compatと呼ばれるライブラリを使用できます。

PHP 5.5パスワードハッシュAPI FAQ（FAQ）PHP 5.5パスワードハッシュAPIとは何ですか？なぜそれが重要なのですか？

PHP 5.5パスワードハッシュAPIは、PHP 5.5以降の機能であり、開発者に安全な方法でパスワードをハッシュして検証する簡単な方法を提供します。機密性の高いユーザーデータを保護するのに役立つため、重要です。データベースがハッキングされている場合、ハッシュパスワードは、単純なテキストパスワードよりもクラックするのが難しいです。 APIは、デフォルトで強力なハッシュ関數(shù)Bcryptを使用し、塩値の生成を自動的に処理するため、開発者が安全なパスワード処理を簡単に実裝できます。

機能はどのように機能しますか？

password_hash

関數(shù)は、PHP 5.5パスワードハッシュAPIの一部です。プレーンテキストパスワードとハッシュアルゴリズムを入力として受信し、ハッシュパスワードを返します。また、この関數(shù)は、ハッシュする前にパスワードにランダム塩値を自動的に生成および適用します。この塩値は返されたハッシュに含まれるため、個別に保存する必要はありません。

password_hash

関數(shù)の目的は何ですか？

password_verify

関數(shù)は、ハッシュパスワードに基づいてパスワードを検証するために使用されます。プレーンテキストパスワードと入力としてハッシュパスワードを受信します。この関數(shù)は、ハッシュされたパスワードから塩の値とハッシュアルゴリズムを抽出し、それらをプレーンテキストパスワードに適用し、結果を元のハッシュされたパスワードと比較します。一致する場合、関數(shù)はtrueを返し、パスワードが正しいことを示します。

password_verify PHP 5.5パスワードハッシュAPIのセキュリティはどうですか？

PHP 5.5パスワードハッシュAPIは非常に安全であると考えられています。デフォルトでBCRyptハッシュアルゴリズムを使用します。これは、強力なハッシュ機能です。また、APIは各パスワードにランダム塩値を自動的に生成および適用します。これにより、レインボーテーブル攻撃を防ぐのに役立ちます。ただし、すべてのセキュリティ対策と同様に、それは絶対確実ではなく、包括的なセキュリティポリシーの一部として使用する必要があります。

関數(shù)でカスタムソルトを使用できますか？

password_hashはい、

関數(shù)でカスタムソルトを使用できますが、これは推奨されません。この機能は、各パスワードのランダム塩値を自動的に生成します。これは通常、カスタムソルトよりも安全です。カスタムソルトを使用することを選択した場合、少なくとも22文字のランダムな文字列にする必要があります。

password_hash

関數(shù)のコストパラメーターは何ですか？

password_hash

関數(shù)のコストパラメーターは、ハッシュの計算コストを決定します。コストが高いほどハッシュがより安全になりますが、計算が遅くなります。デフォルトのコストは10です。これは、ほとんどのアプリケーションのセキュリティとパフォーマンスのバランスが取れています。

ハッシュパスワードを再ハッシュする必要があるかどうかを確認する方法は？

password_needs_rehash機能を使用して、ハッシュパスワードを再ハッシュする必要があるかどうかを確認できます。この関數(shù)は、ハッシュパスワード、ハッシュアルゴリズム、およびオプションのコストを入力として受信します。ハッシュパスワードが異なるアルゴリズムまたはコストで作成された場合、それは真実で返され、再ハッシュする必要があることを示します。

PHPのPHP 5.5パスワードHASH APIを使用することはできますか？

PHP 5.5パスワードハッシュAPIは、PHP 5.5以降でのみ使用できます。ただし、PHP 5.3.7以降と同じ機能を提供する互換性ライブラリがあります。

PASSWORD_DEFAULT定數(shù)ハッシュを使用してパスワードを持っていると、PHPの將來のバージョンでデフォルトのアルゴリズムが変更された場合はどうなりますか？

PASSWORD_DEFAULT定數(shù)を使用してパスワードがあり、PHP変更の將來のバージョンのデフォルトのアルゴリズムを使用している場合、password_hash関數(shù)は期待どおりに機能し続けます。ハッシュされたパスワードには、使用されているアルゴリズムに関する情報が含まれているため、password_verify関數(shù)はパスワードを正しく検証できます。

PHP 5.5パスワードHASH APIを使用して非ASCIIパスワードを使用できますか？

はい、非ASCIIパスワードを使用してPHP 5.5パスワードハッシュAPIを使用できます。 password_hashおよびpassword_verify関數(shù)はバイナリデータを使用するため、任意の文字のパスワードを処理できます。ただし、さまざまなシステムがASCII以外の文字を異なる方法で処理する可能性があることに注意する必要があるため、パスワードをハッシュする前に正規(guī)化することをお勧めします。

以上がPHP 5.5パスワードハッシュAPIでパスワードをハッシュしますの詳細內(nèi)容です。詳細については、PHP 中國語 Web サイトの他の関連記事を參照してください。