crypt() 未按需要运行

Question

我使用 crypt 如下：

$pass = crypt($pass, 'd4');

针对 mysql 表插入和验证密码。问题是，如果密码相似，则会生成相似的结果。是否有一种算法可以保证不同的密码得到不同的结果？

Answer 1

使用 hash() 并选择哈希算法非常适合您（如果可能的话，比 MD5 更强，但也不要一直使用 SHA512）

在 crypt() 的手册页你会发现这个：

标准的基于 DES 的 crypt() 返回盐作为前两个
输出的字符。它也只使用前八个字符
str，因此以相同的八个字符开头的较长字符串
将产生相同的结果（当使用相同的盐时）。

这应该可以解释为什么你会得到相同的结果。

Answer 2

使用 crypt() 就可以了，因为只要您不使用旧的基于 DES 的模式 (CRYPT_STD_DES)。使用它的唯一有效原因是为了与使用此类密码哈希的旧版软件进行互操作。

请改用 CRYPT_BLOWFISH、CRYPT_SHA256 或 CRYPT_SHA512 模式。这些是现代密码哈希算法，接受任意长的密码短语，使用长盐并支持通过多次迭代进行密钥强化。

不幸的是，PHP crypt() 接口有点尴尬：显式选择所需算法的唯一方法是提供格式正确的 $salt 参数，这意味着您还可以必须自己生成实际的盐。不过，这可能仍然比滚动您自己的密码哈希代码更容易、更安全。

Answer 3

你可以加点盐。通常，如果您要存储密码，您会希望对它们进行哈希处理，而不是对其进行加密。如果您搜索（例如在 Google 上），您可以了解很多有关此内容的内容。

Answer 4

从 php crypt() 页面：

基于标准 DES 的 crypt() 返回盐作为输出的前两个字符。它还只使用 str 的前八个字符，因此以相同的八个字符开头的较长字符串将生成相同的结果（当使用相同的盐时）。

您可能还想使用不同的加密方法，例如 MD5 或 SHA256，因为这些方法通常比 DES 更好。