问php加密密码

EN

我使用md5加密，我告诉它(不久前我还是个php的菜鸟)是安全的，但是如果你在好的老谷歌上查一下，它已经加密和解密了。

首先是吹毛求疵。这是散列而不是加密。散列是一种方法。现在要回答您的问题:不要使用md5()来散列密码。已经不安全了。它已经坏了好几年了。不仅发现了冲突(导致相同哈希的多个值)，而且使用任何合适的GPU，md5都可以非常快地被强制执行。

很多人说使用我看过的Bcrypt，它是对SHA-512的。

你应该用bcrypt。就目前而言，这是密码哈希的最佳选择。

人们说使用随机盐并将其保存在数据库中，这是愚蠢的。

不，这不傻。盐碱化密码可防止攻击者为所有密码创建彩虹表。为了您的方便，艾克斯克尔创建了一个密码库，可以在GitHub上找到。

一些相关文章和堆栈溢出帖子：

• 有比bcrypt和scrypt更现代的密码散列方法吗？
• bcrypt常见问题
• 受够了彩虹桌:你需要知道的安全密码方案
• 如何使用bcrypt在PHP中哈希密码？
• 简介: PasswordLib
• 正确盐析密码，起诉佩珀
• OWASP密码存储备忘单

更新

当PHP5.5发布时，它将引入一种简单的方法来正确加密您的密码。默认情况下，它将使用bcrypt，并自动向密码中添加盐分。当一种更好的算法在未来(例如氪星)出现时，它将能够使用它。有关更多信息，请参见关于这个新特性的RFC。它还将具有一个功能，即检测当前散列密码的使用算法，并在用户可用时登录到更新(/更安全)算法时自动更新它们。有关实现示例，请查看这个GitHub要点。

如果您仍然使用较旧版本的PHP，并且无法更新，则会出现a pure PHP implementation of the C API available with support of PHP >= 5.3.7。这个compat使用与C完全相同的实现。

注意:使用更安全的scrypt甚至更好，但是到目前为止PHP还不支持它。如果情况确实如此，我将更新这一答复。

你把散列和加密搞混了。

我使用用户名中的某些字符以及php代码中的一个字符串进行盐分。从理论上讲，他们需要代码和数据库来解决这个问题。