PHP如何安全地对字符串进行哈希加密_password_hash函数最佳实践

使用password_hash()生成安全哈希，推荐默认算法并保存至数据库；登录时用password_verify()校验；通过password_needs_rehash()适时升级哈希强度；合理设置cost参数平衡安全与性能。

如果您需要对用户密码或其他敏感字符串进行安全的哈希处理，PHP 提供了内置函数来防止常见的安全漏洞。直接存储明文密码是严重安全隐患，必须使用强哈希机制保护数据。以下是使用 password_hash() 函数进行安全哈希的最佳实践步骤：

一、使用 password_hash() 生成安全哈希

该函数利用 bcrypt 算法（默认）自动生成盐值（salt），避免开发者手动管理盐带来的风险。它能有效抵御彩虹表和暴力破解攻击。

1、调用 password_hash() 函数，传入原始密码和哈希算法常量。

2、推荐使用默认的 PASSWORD_DEFAULT 或明确指定 PASSWORD_BCRYPT。

立即学习“PHP免费学习笔记（深入）”；

3、示例代码：$hash = password_hash($password, PASSWORD_DEFAULT);

4、将生成的哈希字符串完整保存至数据库，长度应支持至少 255 字符的字段。

二、验证哈希密码使用 password_verify()

在用户登录时，不能解密哈希值，而应使用 password_verify() 对输入密码重新哈希并与存储的哈希比对。

1、从数据库中取出对应用户的哈希值。

2、调用 password_verify($inputPassword, $storedHash) 进行校验。

3、该函数会自动提取哈希中的盐并执行相同算法，返回布尔值表示是否匹配。

4、示例：if (password_verify($password, $hash)) { /* 登录成功 */ }

Lateral App

整理归类论文

50

查看详情

三、定期更新哈希强度使用 password_needs_rehash()

当系统配置变更（如提高 cost 参数）或用户再次登录时，可检测当前哈希是否符合新标准，并自动重新哈希。

1、在验证密码后，检查是否需要重新哈希。

2、使用 password_needs_rehash($storedHash, PASSWORD_DEFAULT, ['cost' => 12]) 判断。

3、若返回 true，则用新参数重新执行 password_hash() 并更新数据库中的哈希值。

4、这确保旧密码逐步升级到更强的安全级别。

四、配置适当的哈希成本参数

cost 参数决定哈希计算的资源消耗，越高越难被暴力破解，但也影响服务器性能。需在安全与性能间平衡。

1、通过 options 数组设置 cost 值，例如：['cost' => 12]。

2、建议初始值设为 10-12，根据服务器能力测试调整。

3、测试执行时间：运行哈希操作确认单次耗时在可接受范围（如 50-100ms）。

4、设置方式：$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);

以上就是PHP如何安全地对字符串进行哈希加密_password_hash函数最佳实践的详细内容，更多请关注php中文网其它相关文章！