Я создаю систему входа в систему и хочу хешировать пароли, чтобы сделать их более безопасными, но каждый раз она возвращает разные хэши и даже не может быть проверена с помощью password_verify(), вот мой код:
$password = password_hash($password4, PASSWORD_DEFAULT);
и вот мой код для проверки:
if(password_verify($password4, $dbpassword))
password_hash() таким образом. 13.10.2015 password_hash() при правильном использовании предоставляет случайные соли и длинные хэши, для взлома которых потребуются сотни лет. 13.10.2015 password_verify? А именно эта часть: Обратите внимание, что password_hash() возвращает алгоритм, стоимость и соль как часть возвращаемого хэша. Поэтому вся информация, необходимая для проверки хэша, включена в него. Это позволяет функции проверки проверять хэш без необходимости отдельного хранения соли или информации об алгоритме. Это должно прояснить, почему она не работает. 13.10.2015 password_hash(). Что еще вам нужно знать @ItzBenteThePig? Документы предоставляют различные методологии хеширования, если вы хотите их использовать. 13.10.2015 Итак, давайте возьмем это по одной части за раз
но он каждый раз возвращает другой хэш
Это идея. password_hash предназначен для генерации случайной соли каждый раз. Это означает, что вам нужно разбивать каждый хеш отдельно, вместо того, чтобы угадывать одну соль, используемую для всего, и иметь огромную ногу.
Нет необходимости MD5 или делать какое-либо другое хэширование. Если вы хотите повысить безопасность password_hash, вы проходите более высокую стоимость (стоимость по умолчанию равна 10).
$password = password_hash($password4, PASSWORD_DEFAULT, ['cost' => 15]);
Как проверить
if(password_verify($password4, $dbpassword))
Таким образом, $password4 должен быть вашим нехешированным паролем, а $dbpassword должен быть хешем, который вы сохранили в своей базе данных.
