我在SQL数据库上存储密码,使用PHP并计划使用bcrypt。使用bcrypt:我应该分配多少个字节?
我正在做一些研究,找出我应该用什么类型和大小来存储散列和盐在我的数据库。
基于对this question的很好回答,似乎bcrypt有时会输出不同大小的散列,可能大到CHAR(76)或BINARY(60)。但我不明白何时和为什么。
该问题提供了一个link,它说使用$2$方案产生59个字节,而$2a$产生60个字节。然而,今天的文档为php的crypt推荐使用$2y$而不是$2a$,由于某些原因,由于高位攻击等原因。无论如何,我想使用$2y$,因为它是建议的,但没有迹象表明它会输出的大小。
数据库中我的字段大小应该是多少?
另外,在这类应用程序中CHAR和BINARY之间是否有实际区别?
CHAR(60)CHAR(22)这可以可通过实验找到:
<?php
$salt1 = "FotZoGZruCl8ugk0Tvl4g";
$salt2 = "FotZoGZruCl8ugk0Tvl4g9";
$salt3 = "FotZoGZruCl8ugk0Tvl4g9a";
print 'Salt 1 (stlen = ' . strlen($salt1) . '): ' . $salt1 . '<br />';
print 'Salt 2 (stlen = ' . strlen($salt2) . '): ' . $salt2 . '<br />';
print 'Salt 3 (stlen = ' . strlen($salt3) . '): ' . $salt3 . '<br />';
$hash1 = crypt('password1', '$2y$07$' . $salt1);
$hash2 = crypt('password1', '$2y$07$' . $salt2);
$hash3 = crypt('password1', '$2y$07$' . $salt3);
print 'Hash 1 (strlen = ' . strlen($hash1) . '): ' . $hash1 . '<br />';
print 'Hash 2 (strlen = ' . strlen($hash2) . '): ' . $hash2 . '<br />';
print 'Hash 3 (strlen = ' . strlen($hash3) . '): ' . $hash3 . '<br />';
?>
输出结果为:
Salt 1 (stlen = 21): FotZoGZruCl8ugk0Tvl4g
Salt 2 (stlen = 22): FotZoGZruCl8ugk0Tvl4g9
Salt 3 (stlen = 23): FotZoGZruCl8ugk0Tvl4g9a
Hash 1 (strlen = 60): $2y$07$FotZoGZruCl8ugk0Tvl4g.pXg.UBUUwuj14Ur1d.z/tMLqGPxQLBW
Hash 2 (strlen = 60): $2y$07$FotZoGZruCl8ugk0Tvl4guNd47GUslNQPXiel70rI0yvffP7iPSHe
Hash 3 (strlen = 60): $2y$07$FotZoGZruCl8ugk0Tvl4guNd47GUslNQPXiel70rI0yvffP7iPSHe
这里你会发现,如果你添加超过22个字符的盐,哈希将保持不变。也就是说,在执行哈希之前,crypt会将盐截断为22个字符。
FYI,随机盐代:
$salt = substr(strtr(base64_encode(mcrypt_create_iv(17, MCRYPT_DEV_URANDOM)), "=+", "./"), 0, 22);
编辑: 此外,盐/散列的格式是底部64即是使用A-Z,A-Z,数字0-9, ''和'/'作为数字,每个数字代表0到63之间的一个值......所以在数据库中使用CHAR相对于BINARY没有问题,因为您可以使用CHAR来表示所有这些数字。
这将是相同的大小 - 60个字符。 ($2$和$2a$之间唯一的区别是,前者是一个更小的字符的实际的哈希部分是相同的尺寸。)
[在数据库中存储哈希密码(Bcrypt)的可能的副本 - 列/长度?](http://stackoverflow.com/questions/5881169/storing-a-hashed-password-bcrypt-in-一个数据库,类型 - 长度 - 的列) – 2013-10-04 23:55:28