关于 password_hash 的问题
Questions about password_hash
为了了解更多关于 Web 开发的信息,我目前正在使用 PHP 的帐户系统创建网站。
为了安全地存储密码,我使用加盐的散列法,但是出现了两个关于 password_hash 函数的问题:
- 当使用
PASSWORD_DEFAULT 并更改默认算法时,对于旧存储的散列密码,密码是否不再可靠 with/valid?
- 当函数自动对密码加盐时,以后如何验证密码?能否以某种方式访问盐,函数是否对每个密码使用相同的盐,还是有其他方式?
根据the manual:
The used algorithm, cost and salt are returned as part of the hash.
Therefore, all information that's needed to verify the hash is
included in it. This allows the password_verify() function to verify
the hash without needing separate storage for the salt or algorithm
information.
为了了解更多关于 Web 开发的信息,我目前正在使用 PHP 的帐户系统创建网站。 为了安全地存储密码,我使用加盐的散列法,但是出现了两个关于 password_hash 函数的问题:
- 当使用
PASSWORD_DEFAULT并更改默认算法时,对于旧存储的散列密码,密码是否不再可靠 with/valid? - 当函数自动对密码加盐时,以后如何验证密码?能否以某种方式访问盐,函数是否对每个密码使用相同的盐,还是有其他方式?
根据the manual:
The used algorithm, cost and salt are returned as part of the hash. Therefore, all information that's needed to verify the hash is included in it. This allows the password_verify() function to verify the hash without needing separate storage for the salt or algorithm information.