密码散列API查询

Question

所以我使用新的PHP 5.5密码散列API，我不确定是否正确得到了这个。

我已经试过自动刷新每个登录，有时我失败，即使哈希结果是相同的反正，我觉得我做错了什么。

它可能是我可能错误的查询函数，因为当我检查phpMyAdmin时哈希值甚至没有改变。

if (password_needs_rehash($result_row->user_password_hash, PASSWORD_DEFAULT)) 
{ 
    $newhash = password_hash(
     $_POST['user_password'], PASSWORD_BCRYPT, 
     ['cost' => 12, 'salt' => 'superfreakingsonicdude',] 
    ); 

    // update hash in database 
    $this->connection->query(
     "UPDATE users SET user_password_hash='" . $newhash . 
     "' WHERE user_name='".$result_row->user_name."'" 
    ); 
} 

Here is where you can find all the functions.

Answer 1

输入到哈希是密码和盐。相同的密码，相同的盐，相同的结果。
如果您离开参数salt，每次都会生成一个随机盐，您应该得到不同的结果。你不应该提供静态盐。这意味着所有用户都有相同的盐，这会大大降低其有效性。每个散列 需要 应该有一个随机盐。

Answer 2

的funcion password_needs_rehash已被引入到检查是否需要升级：

password_needs_rehash($result_row->user_password_hash, PASSWORD_DEFAULT) 

此功能检查，看是否提供的散列实现所提供的算法和选项。如果不是，则假定散列需要重新映射。

如果您在理解这个函数做什么时有问题，那么RFC包含PHP代码中的函数。所以，如果你可以阅读PHP代码，你应该能够阅读以下（参见引入部分它可以在用户土地来实现：）：https://wiki.php.net/rfc/password_hash#password_needs_rehash

有意义的测试，如果在哈希数据库（存储）与PASSWORD_DEFAULT中的算法是否相同。这意味着要检查PASSWORD_DEFAULT是否在上次存储散列和现在散列之间发生了变化。

现在PASSWORD_DEFAULT是PASSWORD_BCRYPT所以它应该总是返回false。在你的情况下，它返回true，因为你正在测试没有你的密码选项。

改变这一点，你应该罚款：

$options = ['cost' => 12, 'salt' => 'superfreakingsonicdude',]; 
######## 

if (password_needs_rehash($result_row->user_password_hash, PASSWORD_DEFAULT, $options)) 
                      ######## 
{ 
    $newhash = password_hash($_POST['user_password'], PASSWORD_DEFAULT, $options); 
                 ################ ######## 

    // update hash in database 
    $this->connection->query(
     "UPDATE users SET user_password_hash='" . $newhash . 
      "' WHERE user_name='".$result_row->user_name."'" 
    ); 
} 

还可以考虑继续使用PASSWORD_DEFAULT，如果你想从一个默认的散列在PHP核心算法中更新中受益。