PHP password_hash() 函數

作者：Eve Cole 更新時間：2024-12-28 11:12:01

password_hash() 函數用於建立密碼的雜湊（hash）

PHP 版本需求: PHP 5 >= 5.5.0, PHP 7

文法

string password_hash ( string $password , int $algo [, array $options ] )

password_hash() 使用足夠強度的單向雜湊演算法來建立密碼的雜湊（hash）。 password_hash() 相容crypt()。所以， crypt() 所建立的密碼雜湊也可用來password_hash()。

目前支援的演算法：

PASSWORD_DEFAULT - 使用bcrypt 演算法(PHP 5.5.0 預設)。請注意，此常數會隨著PHP 加入更新更高強度的演算法而改變。所以，使用此常數產生結果的長度將在未來有變化。因此，資料庫裡儲存結果的列可超過60個字元（最好是255個字元）。

PASSWORD_BCRYPT - 使用CRYPT_BLOWFISH演算法建立雜湊。這會產生相容使用"$2y$" 的crypt() 。結果將會是60 個字元的字串，或是在失敗時傳回FALSE 。

PASSWORD_ARGON2I - 使用Argon2 雜湊演算法建立雜湊。

PASSWORD_BCRYPT 支援的選項：

salt(string) - 手動提供雜湊密碼的鹽值（salt）。這將避免自動產生鹽值（salt）。

省略此值後，password_hash() 會為每個密碼雜湊自動產生隨機的鹽值。這種操作是有意的模式。

注意：鹽值（salt）選項從PHP 7.0.0 開始被廢棄（deprecated）了。現在最好選擇簡單的使用預設產生的鹽值。

cost (integer) - 代表演算法使用的cost。 crypt() 頁面上有cost 值的範例。

省略時，預設值是10。這個cost 是個不錯的底線，但也許可以根據自己硬體的情況，加大這個值。

PASSWORD_ARGON2I 支援的選項：

memory_cost ( integer ) - 計算Argon2 雜湊時的最大記憶體（單位：位元組byte）。預設值： PASSWORD_ARGON2_DEFAULT_MEMORY_COST 。

time_cost ( integer ) - 計算Argon2 雜湊時最多的時間。預設值： PASSWORD_ARGON2_DEFAULT_TIME_COST 。

threads ( integer ) - 計算Argon2 雜湊時最多的執行緒數。預設值： PASSWORD_ARGON2_DEFAULT_THREADS 。

參數說明：

password: 一個由password_hash() 所建立的雜湊值。

algo: 一個用來在雜湊密碼時指示演算法的密碼演算法常數。

options: 一個包含有選項的關聯陣列。目前支援兩個選項：salt，散列密碼時加的鹽（幹擾字串），以及cost，用來指明演算法遞歸的層數。這兩個值的範例可在crypt() 頁面找到。

省略後，將使用隨機鹽值與預設cost。

傳回值

傳回散列後的密碼，或失敗時傳回FALSE。

實例

實例1

<?php /* * * 我們想要使用預設演算法雜湊密碼* 目前是BCRYPT，並會產生60 個字元的結果。 * * 請注意，隨時間推移，預設演算法可能會有變化， * 所以需要儲存的空間能夠超過60 字（255字不錯） */ echo password_hash ( " rasmuslerdorf " , PASSWORD_DEFAULT ) ; ?>

輸出結果為：

 $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a

實例2

<?php /* * * 在這個案例裡，我們為BCRYPT 增加cost 到12。 * 注意，我們已經切換到了，將始終產生60 個字元。 */ $options = [ ' cost ' => 12 , ] ; echo password_hash ( " rasmuslerdorf " , PASSWORD_BCRYPT , $options ) ; ?>

輸出結果為：

 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

實例3

手動設定鹽值的例子

<?php /* * * 注意，這裡的鹽值是隨機產生的。 * 永遠不要使用固定鹽值，或不是隨機產生的鹽值。 * * 絕大多數情況下，可以讓password_hash generate 為你自動產生隨機鹽值*/ $options = [ ' cost ' => 11 , ' salt ' => mcrypt_create_iv ( 22 , MCRYPT_DEV_URANDOM ) , ] ; echo password_hash ( " rasmuslerdorf " , PASSWORD_BCRYPT , $options ) ; ?>

輸出結果為：

 $2y$11$q5MkhSBtlsJcNEVsYh64a.aCluzHnGog7TQAKVmQwO9C8xb.t89F.

實例4

尋找最佳cost 的password_hash() 例子

<?php /* * * 這個範例對伺服器做了基準測試（benchmark），檢測伺服器能承受多高的cost * 在不明顯拖慢伺服器的情況下可以設定最高的值* 8-10 是個不錯的底線，在伺服器夠快的情況下，越高越好。 * 以下程式碼目標為≤ 50 毫秒（milliseconds）， * 適合系統處理互動登入。 */ $timeTarget = 0 .05 ; // 50 毫秒（milliseconds） $cost = 8 ; do { $cost ++; $start = microtime ( true ) ; password_hash ( " test " , PASSWORD_BCRYPT , [ " cost " => $cost ] ) ; $end = microtime ( true ) ; } while ( ( $end - $start ) < $timeTarget ) ; echo " Appropriate Cost Found: " . $cost ; ?>

輸出結果為：

 Appropriate Cost Found: 10

實例5

使用Argon2 例子:

<?php echo ' Argon2 hash: ' . password_hash ( ' rasmuslerdorf ' , PASSWORD_ARGON2I ) ; ?>

輸出結果為：

 Argon2 hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0