duancan1900 2015-03-18 12:47
浏览 50
已采纳

在PHP中最安全地使用bcrypt [关闭]

Other than just hashing the password like that:

password_hash($password, PASSWORD_BCRYPT);

What is the recommended rounds of iteration for bcrypt? I know for certain that four rounds of blowfish are susceptible to a second-order differential attack but the server utilizing the process of hashing would probably be fine with a lot bigger cost in most cases. 14 rounds can be distinguished from a pseudorandom permutation so that's ruled out as well.

Is 16 the highest possible cost? Also how is the salt being generated (if omitted)?

  • 写回答

1条回答 默认 最新

  • dongqing483174 2015-03-18 13:15
    关注

    In case of BCrypt you do not specify the number of rounds, instead you define a cost factor. The cost factor will be raised to the power of 2, that means, increasing the cost factor by 1, will double the computing time.

    $numberofRounds = 2 ^ $costFactor

    The default value is currently 10, the highest possible value is currently 31. To determine the cost factor you should go the other way round, measure the time your server needs for different cost factors. Then you can decide what cost factor is bearable for your server.

    There is a small example script in the PHP documentation, which helps finding an appropriate cost factor.

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论
编辑
预览

报告相同问题?

  • PHP安全性漫谈
    2020-10-27 16:40
    PHP开发安全性是至关重要的,尤其在Linux+Apache+MySQL+PHP这样的服务器环境。本文将探讨如何增强Apache Server的安全设置以及PHP安全配置,以保护系统免受潜在威胁。 首先,我们关注Apache Server的安全...
  • php 编写安全的代码时容易犯的错误小结
    2020-10-28 18:43
    4. **不安全地包含文件**:使用动态变量,如`$_GET`、`$_POST`或`$_COOKIE`的值来决定要包含的文件,会引入严重的安全风险。黑客可以利用这一点访问敏感文件或执行恶意代码。应固定包含的文件路径,避免使用用户可...
  • php的登陆login
    2020-12-17 06:41
    PHP,登录(Login)系统是Web应用程序不可或缺的一部分,它用于验证用户的身份并授权访问特定资源。这里我们分析的代码片段展示了如何构建一个基本的登录系统,使用PHP和MySQL数据库。以下是对该代码的详细...
  • php的登陆login实例代码
    2020-10-21 18:23
    在真实环境使用安全的哈希函数如bcrypt或scrypt是推荐的做法,因为MD5已被证明不安全。 之后,编写SQL查询语句,从siteuser表选取匹配用户名和经过MD5加密的密码的记录,同时确保isopen字段为1,这可能意味...
  • php+MySql实现登录系统与输出浏览者信息功能
    2020-12-18 20:59
    PHP,连接MySQL数据库通常使用`mysqli`或`PDO`扩展。以下是一个简化的示例: ```php <?php $servername = "localhost"; $username = "your_username"; $password = "your_password"; $dbname = "your_database...
  • php+MySQL 注册账号网页.zip
    2021-10-26 10:15
    PHP,我们可以使用`mysqli`或`PDO`扩展来连接和操作数据库。此文件可能包含以下内容: 1. 数据库连接:使用`mysqli_connect()`或`PDO::__construct()`建立连接,需要提供数据库主机名、用户名、密码和数据库名。...
  • PHP:语言测试和PHP语言编写
    2021-03-09 01:20
    PHP(Hypertext Preprocessor,超文本预处理器)是一种广泛使用的开源服务器端脚本语言,尤其适合Web开发,可以嵌入到HTML使用。本文将深入探讨PHP语言测试和编写的相关知识点,帮助你掌握PHP的核心技术和实践应用...
  • PHP框架的安全功能详解
    2024-07-09 03:20
    likeshop开源商城的博客 本文由团队出品在当今数字化时代,网络安全显得尤为重要。PHP框架作为开发安全网络应用程序的基石,集成了众多先进的安全功能,为应用程序筑起了一道坚实的防线,有效抵御各种潜在的网络攻击和安全隐患。PHP框架通过...
  • php结合md5实现的加密解密方法
    2020-10-22 14:32
    在讲解PHP结合MD5实现的加密解密方法之前,我们首先需要理解MD5以及PHP实现加密解密的基本概念。 MD5全称为Message-Digest Algorithm 5,是一种广泛使用的密码散列函数,能够产生出一个128位(16字节)的散列值...
  • 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-5.用户登录,密码的bcrypt(hash)加密与验证
    2021-08-09 07:53
    最强的森的博客 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-5.用户登录,密码的bcrypt(hash)加密与验证 技能学习:学习使用php(tp6框架) + vue.js,开发前端全栈网站-1.工具和本地环境 技能学习:学习使用...
  • php注册登录系统简化版
    2020-12-17 19:02
    在实际开发,这个简化的系统需要考虑更多的安全性和用户体验因素,例如: - **密码加密**:密码应该在存储前进行哈希处理,例如使用bcrypt或scrypt等现代哈希算法。 - **错误处理**:提供友好的错误提示,而不是...
  • PHP实现加密文本文件并限制特定页面的存取的效果
    2020-10-20 22:22
    在现代开发,更推荐使用密码哈希函数如bcrypt、argon2等,它们设计上更适合处理密码哈希,具有更高的安全性。 当涉及到用户访问控制时,通常需要创建一个登录页面,提示用户输入用户名和口令。然后,PHP脚本会...
  • PHP写MySQL数据 实现代码
    2020-10-29 13:46
    这是早期常见的做法,但请注意,MD5已经不再推荐用于密码加密,因为它存在安全漏洞,现在更倾向于使用bcrypt等更安全的加密算法。 5. SQL语句的构建与执行:通过构建SQL语句将数据插入到数据库表。在示例使用...
  • assignment-SD-WEB:使用编程语言进行Repo untuk作业开发Web(我使用的是PHP
    2021-03-06 09:15
    标题和描述提到的"assignment-SD-WEB"是一个关于使用PHP编程语言进行Web开发的项目或作业。在这个项目,开发者将应用PHP技术来构建Web应用程序,这可能包括前端界面设计、后端逻辑处理以及数据库交互等核心部分...
  • 我应该使用什么列类型/长度在数据库存储Bcrypt哈希密码?
    2020-08-07 07:07
    CHCH998的博客 I want to store a hashed password (using BCrypt) in a database. 我想在数据库存储散列密码(使用BCrypt)。 What would
  • PHP_表单安全详解
    2011-08-07 10:41
    6. **安全的文件上传**:限制可上传文件的类型和大小,使用随机文件名以防止文件覆盖,存储在非执行目录,确保无法通过URL直接访问。 7. **会话管理**:定期刷新session_id,设置合理的session生命周期,使用...
  • php简单案例-表单提交-简单登录-数据输出
    2018-11-29 09:53
    在本PHP简单案例,我们将探讨如何实现一个基础的前端表单提交以及后端的简单用户登录系统。这个系统的核心是通过HTML表单收集用户数据,然后使用PHP处理这些数据,进行用户验证,并最终从数据库输出相关记录。...
  • php+mysql网站开发入门及提高
    2016-11-07 08:53
    - **变量声明**:在PHP,变量使用 `$` 符号开头。 - **数据类型**:包括字符串、整型、浮点型、数组、对象等。 - **流程控制**:如条件语句(if/else)、循环语句(for/while)等。 #### 二、MySQL数据库操作 ##...
  • PHP如何访问和操作数据库?
    2024-08-10 00:41
    破碎的天堂鸟的博客 PHP访问和操作数据库,通常需要以下步骤:1:连接数据库:首先,需要建立与MySQL数据库的连接。可以使用或函数来实现。例如: 或者: 2:选择数据库:如果有多于一个的数据库,需要选择要操作的数据库。可以...
  • 没有解决我的问题, 去提问