Đây là mã SQL để tạo bảng [bạn có thể sử dụng nó với PhpMyAdmin để tạo bảng trên môi trường phát triển của mình]
CREATE TABLE `accounts` [
`account_id` int[10] UNSIGNED NOT NULL,
`account_name` varchar[255] NOT NULL,
`account_passwd` varchar[255] NOT NULL
] ENGINE=InnoDB DEFAULT CHARSET=utf8;
ALTER TABLE `accounts`
ADD PRIMARY KEY [`account_id`];
ALTER TABLE `accounts`
MODIFY `account_id` int[10] UNSIGNED NOT NULL AUTO_INCREMENT;
Quan trọng
Đảm bảo đặt cột mật khẩu dưới dạng varchar .
[Một varchar là một cột văn bản có độ dài thay đổi. ]
Lý do là kích thước của hàm băm từ password_hash[] có thể thay đổi [sẽ biết thêm chi tiết về vấn đề này sau]
Nếu bạn cần trợ giúp về SQL, bạn có thể tìm thấy tất cả những gì bạn cần tại đây. Cách sử dụng PHP với MySQL
Bây giờ, bạn cần kết nối với cơ sở dữ liệu từ tập lệnh PHP của mình
Nếu bạn không biết cách, đây là tập lệnh kết nối PDO đơn giản mà bạn có thể sử dụng ngay
Chỉ cần chỉnh sửa các tham số kết nối để làm cho nó hoạt động với môi trường của riêng bạn
/* Host name of the MySQL server. */
$host = 'localhost';
/* MySQL account username. */
$user = 'myUser';
/* MySQL account password. */
$passwd = 'myPasswd';
/* The default schema you want to use. */
$schema = 'mySchema';
/* The PDO object. */
$pdo = NULL;
/* Connection string, or "data source name". */
$dsn = 'mysql:host=' . $host . ';dbname=' . $schema;
/* Connection inside a try/catch block. */
try
{
/* PDO object creation. */
$pdo = new PDO[$dsn, $user, $passwd];
/* Enable exceptions on errors. */
$pdo->setAttribute[PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION];
}
catch [PDOException $e]
{
/* If there is an error, an exception is thrown. */
echo 'Database connection failed.';
die[];
}
Bây giờ bạn đã sẵn sàng để thêm người dùng mới vào bảng
Đây là một ví dụ đầy đủ [pdo. php là tập lệnh chứa đoạn kết nối cơ sở dữ liệu trước đó]
/* Include the database connection script. */
include 'pdo.php';
/* Username. */
$username = 'John';
/* Password. */
$password = 'my secret password';
/* Secure password hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT];
/* Insert query template. */
$query = 'INSERT INTO accounts [account_name, account_passwd] VALUES [:name, :passwd]';
/* Values array for PDO. */
$values = [':name' => $username, ':passwd' => $hash];
/* Execute the query. */
try
{
$res = $pdo->prepare[$query];
$res->execute[$values];
}
catch [PDOException $e]
{
/* Query error. */
echo 'Query error.';
die[];
}
Quan trọng. Trong ví dụ này, chúng tôi đã bỏ qua các bước xác thực, bao gồm
- kiểm tra độ dài tên người dùng và mật khẩu
- kiểm tra các ký tự không hợp lệ
- kiểm tra xem tên người dùng đã tồn tại chưa
Cách thay đổi mật khẩu của người dùng
Ví dụ tiếp theo cho thấy cách thay đổi mật khẩu của người dùng hiện tại
Đầu tiên, lấy mật khẩu mới và tạo hàm băm của nó bằng password_hash[]
/* New password. */
$password = $_POST['password'];
/* Remember to validate the password. */
/* Create the new password hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT];
Sau đó, cập nhật hàng trong bảng có cùng ID tài khoản của người dùng hiện tại và đặt hàm băm mới
Ghi chú. chúng tôi cho rằng biến $accountId chứa ID tài khoản
/* Include the database connection script. */
include 'pdo.php';
/* ID of the account to edit. */
$accountId = 1;
/* Update query template. */
$query = 'UPDATE accounts SET account_passwd = :passwd WHERE account_id = :id';
/* Values array for PDO. */
$values = [':passwd' => $hash, ':id' => $accountId];
/* Execute the query. */
try
{
$res = $pdo->prepare[$query];
$res->execute[$values];
}
catch [PDOException $e]
{
/* Query error. */
echo 'Query error.';
die[];
}
Cách sử dụng password_verify[]
Để xác minh mật khẩu do người dùng từ xa cung cấp, bạn cần sử dụng hàm password_verify[]
password_verify[] nhận hai đối số
- mật khẩu bạn cần xác minh, làm đối số đầu tiên
- hàm băm từ password_hash[] của mật khẩu ban đầu, làm đối số thứ hai
Nếu mật khẩu đúng, password_verify[] trả về true
Đây là một ví dụ
/* Include the database connection script. */
include 'pdo.php';
/* Login status: false = not authenticated, true = authenticated. */
$login = FALSE;
/* Username from the login form. */
$username = $_POST['username'];
/* Password from the login form. */
$password = $_POST['password'];
/* Remember to validate $username and $password. */
/* Look for the username in the database. */
$query = 'SELECT * FROM accounts WHERE [account_name = :name]';
/* Values array for PDO. */
$values = [':name' => $username];
/* Execute the query */
try
{
$res = $pdo->prepare[$query];
$res->execute[$values];
}
catch [PDOException $e]
{
/* Query error. */
echo 'Query error.';
die[];
}
$row = $res->fetch[PDO::FETCH_ASSOC];
/* If there is a result, check if the password matches using password_verify[]. */
if [is_array[$row]]
{
if [password_verify[$password, $row['account_passwd']]]
{
/* The password is correct. */
$login = TRUE;
}
}
Quan trọng
Bạn không thể chỉ so sánh hai giá trị băm khác nhau để xem chúng có khớp không
Lý do là password_hash[] tạo ra các giá trị băm muối
Băm muối bao gồm một chuỗi ngẫu nhiên, được đặt tên là muối muối, như một biện pháp bảo vệ chống lại các cuộc tấn công từ điển và bảng cầu vồng
Do đó, mọi hàm băm sẽ khác nhau ngay cả khi mật khẩu nguồn giống nhau
Hãy thử đoạn mã sau. Bạn sẽ thấy rằng hai giá trị băm khác nhau, ngay cả khi mật khẩu giống nhau
$password = 'my password';
echo password_hash[$password, PASSWORD_DEFAULT];
echo '
';
echo password_hash[$password, PASSWORD_DEFAULT];
Ghi chú
password_verify[] chỉ hoạt động với các giá trị băm được tạo bởi password_hash[]
Bạn không thể sử dụng nó để kiểm tra mật khẩu đối với hàm băm MD5 hoặc SHA
Cách tăng bảo mật băm
Băm được tạo bởi password_hash[] rất an toàn
Nhưng bạn có thể làm cho nó mạnh hơn nữa bằng hai kỹ thuật đơn giản
- Tăng chi phí Bcrypt
- Tự động cập nhật thuật toán băm
chi phí Bcrypt
Bcrypt là thuật toán băm mặc định hiện tại được sử dụng bởi password_hash[]
Thuật toán này nhận một tham số tùy chọn có tên là “chi phí”. Giá trị chi phí mặc định là 10
Bằng cách tăng chi phí, bạn có thể làm cho hàm băm khó tính toán hơn. Chi phí càng cao, thời gian cần thiết để tạo hàm băm càng lâu
Chi phí cao hơn khiến việc phá vỡ hàm băm trở nên khó khăn hơn. Tuy nhiên, nó cũng làm cho quá trình tạo băm và kiểm tra lâu hơn
Vì vậy, bạn muốn tìm một sự thỏa hiệp giữa bảo mật và tải máy chủ
Đây là cách bạn có thể đặt giá trị chi phí tùy chỉnh cho password_hash[]
/* Password. */
$password = 'my secret password';
/* Set the "cost" parameter to 12. */
$options = ['cost' => 12];
/* Create the hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT, $options];
Nhưng bạn nên đặt giá trị chi phí nào?
Một thỏa hiệp tốt là giá trị chi phí cho phép máy chủ của bạn tạo hàm băm trong khoảng 100 mili giây
Đây là một thử nghiệm đơn giản để tìm giá trị này
/* User's password. */
$password = 'my secret password';
/* Secure password hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT];
Khi bạn đã tìm thấy chi phí của mình, bạn có thể sử dụng nó mỗi khi bạn thực thi password_hash[] như trong ví dụ trước
Luôn cập nhật giá trị băm của bạn với password_needs_rehash[]
Để hiểu bước này, hãy xem cách password_hash[] hoạt động
password_hash[] nhận ba đối số
- Mật khẩu bạn cần băm
- Thuật toán băm bạn muốn sử dụng
- Một loạt các tùy chọn để chuyển đến thuật toán băm
PHP hỗ trợ các thuật toán băm khác nhau, nhưng bạn thường muốn sử dụng thuật toán băm mặc định
Bạn có thể chọn thuật toán mặc định bằng cách sử dụng hằng số PASSWORD_DEFAULT, như bạn đã thấy trong các ví dụ trước
Kể từ tháng 6 năm 2020, thuật toán mặc định là Bcrypt
Tuy nhiên, PHP có thể thay đổi thuật toán mặc định trong tương lai, nếu một thuật toán tốt hơn và an toàn hơn được triển khai
Khi điều đó xảy ra, hằng PASSWORD_DEFAULT sẽ trỏ đến thuật toán mới. Vì vậy, tất cả các giá trị băm mới sẽ được tạo bằng thuật toán mới
Nhưng điều gì sẽ xảy ra nếu bạn muốn lấy tất cả các giá trị băm cũ của mình, được tạo bằng thuật toán trước đó và tự động tạo lại chúng bằng thuật toán mới?
Đây là lúc password_needs_rehash[] phát huy tác dụng
Hàm này kiểm tra xem một hàm băm đã được tạo bằng một thuật toán và tham số nhất định chưa
Ví dụ
/* User's password. */
$password = 'my secret password';
/* Secure password hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT];
Nếu thuật toán băm mặc định hiện tại khác với thuật toán dùng để tạo hàm băm, password_needs_rehash[] sẽ trả về true
password_needs_rehash[] cũng kiểm tra xem thông số tùy chọn có khác không
Điều này rất hữu ích nếu bạn muốn cập nhật giá trị băm của mình sau khi thay đổi một tham số như chi phí Bcrypt
Ví dụ này cho thấy cách bạn có thể tự động kiểm tra hàm băm mật khẩu và cập nhật nó nếu cần, khi người dùng từ xa đăng nhập
/* User's password. */
$password = 'my secret password';
/* Secure password hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT];
Cách tự động chuyển đổi các giá trị băm cũ
Trong ví dụ này, bạn sẽ triển khai một tập lệnh đơn giản để tự động chuyển đổi các giá trị băm cũ, dựa trên MD5 thành các giá trị băm an toàn được tạo bằng password_hash[]
Đây là cách nó hoạt động
- Khi người dùng đăng nhập, trước tiên bạn kiểm tra mật khẩu của họ bằng password_verify[]
- Nếu đăng nhập không thành công, hãy kiểm tra xem hàm băm trong cơ sở dữ liệu có phải là hàm băm MD5 không nếu mật khẩu
- Nếu đúng như vậy, thì bạn cập nhật hàm băm bằng hàm được tạo bởi password_hash[]
Đây là kịch bản
/* User's password. */
$password = 'my secret password';
/* Secure password hash. */
$hash = password_hash[$password, PASSWORD_DEFAULT];
Phần kết luận
Trong hướng dẫn này, bạn đã học cách sử dụng password_hash[] và password_verify[] để tạo các giá trị băm an toàn cho mật khẩu của mình [và tại sao bạn không nên sử dụng MD5]
Bạn cũng đã học cách làm cho mật khẩu của mình được băm an toàn hơn bằng cách đặt chi phí Bcrypt phù hợp và tự động băm lại mật khẩu của bạn khi cần