PHP中的密码哈希：如何安全存储用户密码

在 PHP 中，存储用户密码时最重要的考虑是安全性。直接存储明文密码是非常不安全的，容易受到黑客攻击，因此推荐使用 密码哈希 的方式来存储密码。即使数据库被泄露，攻击者也无法直接获取用户的密码。

1. 哈希和加密的区别

• 哈希（Hashing） 是一种单向操作，输入数据（如密码）会通过哈希算法转换为固定长度的字符串。哈希是不可逆的，即不能从哈希值还原出原始密码。
• 加密（Encryption） 是可逆的操作，加密后可以通过解密恢复原始数据。通常用于保护敏感数据，在某些场景中使用。

对于密码，哈希 是最佳选择，因为它是单向的，无法反向破解。

2. 推荐使用 password_hash() 和 password_verify()

PHP 提供了专门的函数 password_hash() 和 password_verify() 来简化密码哈希的使用，能够让你更轻松地实现密码的安全存储和验证。

2.1 使用 password_hash() 对密码进行哈希

password_hash() 函数将用户的密码通过安全的哈希算法（如 bcrypt）生成哈希值，并且自动处理盐（salt）的生成。盐是哈希中的随机值，它防止了两个相同密码生成相同的哈希值，从而增加了安全性。

<?php
$password = 'user_password';  // 用户输入的密码

// 使用 bcrypt 算法生成哈希值
$hashedPassword = password_hash($password, PASSWORD_BCRYPT);

echo $hashedPassword;
?>

• PASSWORD_BCRYPT 是推荐的哈希算法，适合存储密码。它会自动生成盐，防止使用预先计算的哈希值进行攻击。
• password_hash() 会返回一个包含哈希和盐的字符串，这个字符串可以安全地存储在数据库中。

2.2 使用 password_verify() 验证密码

当用户登录时，你需要验证用户输入的密码是否与数据库中存储的哈希值匹配。可以使用 password_verify()来执行这个操作。

<?php
// 从数据库中获取的存储哈希值
$storedHash = '$2y$10$wA8rSHj9NZX3Dbms7Y5GCOyfrjL41V36UFeF3hb96gFyCgJ3lGGsS';  // 示例哈希值

$password = 'user_password';  // 用户输入的密码

// 验证输入的密码是否与存储的哈希值匹配
if (password_verify($password, $storedHash)) {
    echo "密码验证成功！";
} else {
    echo "密码验证失败！";
}
?>

• password_verify() 会对用户输入的密码进行哈希处理，然后与存储在数据库中的哈希值进行比较。

3. 如何存储哈希值

哈希值是一个长字符串，因此你需要确保数据库字段足够大。通常，bcrypt 的哈希值是 60 字符长，因此数据库中的 password 字段至少应该设置为 60 个字符的长度。

示例数据库表设计：

CREATE TABLE users (
    id INT AUTO_INCREMENT PRIMARY KEY,
    username VARCHAR(255) NOT NULL,
    password VARCHAR(255) NOT NULL  -- 用来存储哈希密码
);

4. 密码更新和重新哈希

密码哈希具有一定的计算成本，随着时间的推移，bcrypt 等算法可能变得较慢，或者出现更强的哈希算法。因此，你应该定期更新哈希。

• 当用户登录时，你可以检查当前哈希是否使用了合适的成本因子，并在登录成功时重新哈希密码（如果必要）。

4.1 检查密码哈希是否需要重新哈希

可以使用 password_needs_rehash() 函数来检查存储的密码哈希是否需要重新哈希（例如，如果使用的算法或成本因子已经过时）。

<?php
// 从数据库中获取的存储哈希值
$storedHash = '$2y$10$wA8rSHj9NZX3Dbms7Y5GCOyfrjL41V36UFeF3hb96gFyCgJ3lGGsS';  // 示例哈希值

// 检查当前哈希是否需要重新哈希
if (password_needs_rehash($storedHash, PASSWORD_BCRYPT, ['cost' => 12])) {
    // 重新哈希密码
    $newHash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
    
    // 将新哈希保存到数据库
    // update_password_in_database($newHash);
}
?>

• password_needs_rehash() 会检查给定的哈希是否符合新的算法和成本要求。
• 如果需要重新哈希，使用新的 password_hash() 生成新哈希并存储。

5. 防止暴力破解和密码猜测

为了增强密码的安全性，除了使用哈希算法，你还可以采取一些额外的措施：

5.1 限制登录尝试次数

可以通过 IP 地址、用户 ID 或其他方式限制每个账户的登录尝试次数，防止暴力破解。

// 示例：限制同一 IP 的登录次数
$maxAttempts = 5;
$ipAddress = $_SERVER['REMOTE_ADDR'];

// 从数据库中查询登录尝试次数
// 如果超过最大尝试次数，拒绝登录并记录日志

5.2 使用验证码

在多次失败后，可以要求用户通过验证码（如 Google reCAPTCHA）来验证自己，防止自动化攻击。

5.3 使用强密码策略

强制用户设置复杂密码（包含大写字母、小写字母、数字和特殊字符）以增加密码的破解难度。

6. 总结

• 存储密码的最佳方式是哈希密码，而不是存储明文密码。password_hash() 和 password_verify() 提供了一种简单且安全的方式来实现密码哈希和验证。
• 使用 bcrypt 等安全的哈希算法来保护密码。
• 采用 盐（salt） 和 成本因子 来增强哈希的安全性。
• 定期检查和更新哈希算法，并在登录时进行 密码重新哈希。
• 采用额外的安全措施，如 限制登录尝试次数 和 使用验证码，以防止暴力破解。

通过以上方法，你可以显著提高系统的安全性，保护用户密码免受攻击。