# PHP如何使用crypt()加密密碼
在Web開發中,密碼安全是至關重要的環節。PHP內置的`crypt()`函數提供了一種可靠的密碼加密方式,本文將詳細介紹其使用方法、參數配置以及最佳實踐。
## 一、crypt()函數基礎
### 1. 函數原型
```php
string crypt ( string $str [, string $salt ] )
$str: 需要加密的字符串(通常是用戶密碼)$salt: 可選的鹽值(salt),用于增強安全性$password = 'user123';
$hashed = crypt($password);
echo $hashed; // 輸出類似:$1$X0zF6D0W$V5n9Q8hU7q6R5t4Y3e2W1
當不提供第二個參數時: - PHP 7.0+會自動生成安全的隨機鹽值 - 早期版本可能使用弱隨機源
推薦使用CRYPT_BLOWFISH算法(以\(2y\)開頭):
$salt = '$2y$10$' . bin2hex(random_bytes(11));
$hashed = crypt($password, $salt);
| 前綴 | 算法 | 示例 |
|---|---|---|
| \(1\) | MD5 | \(1\)X0zF6D0W$… |
| \(2a\) | Blowfish | \(2a\)10$N9qo8uLO… |
| \(2y\) | Blowfish(修復) | \(2y\)10$fFLijgJX… |
| \(5\) | SHA-256 | \(5\)rounds=5000$… |
| \(6\) | SHA-512 | \(6\)rounds=5000$… |
function secureCrypt($password) {
// 生成隨機salt(Blowfish算法)
$salt = '$2y$11$' . substr(
str_replace('+', '.', base64_encode(random_bytes(32))),
0, 22
);
return crypt($password, $salt);
}
function verifyPassword($input, $hashed) {
return hash_equals($hashed, crypt($input, $hashed));
}
不要使用弱算法
避免使用CRYPT_STD_DES(2字符salt)和CRYPT_EXT_DES(9字符salt)
成本因子設置
Blowfish算法的成本因子(如\(2y\)10$中的10)建議值:
密碼存儲建議
password_hash()作為更現代的替代方案| 特性 | crypt() | password_hash() |
|---|---|---|
| PHP版本要求 | 所有版本 | PHP 5.5+ |
| 自動生成salt | PHP7.0+支持 | 總是自動生成 |
| 算法選擇 | 依賴系統實現 | 可指定明確算法 |
| 未來兼容性 | 可能被淘汰 | 官方推薦 |
用戶注冊流程:
// 注冊時
$userPassword = $_POST['password'];
$storedHash = secureCrypt($userPassword);
// 存入數據庫...
// 登錄時
$inputPassword = $_POST['password'];
$dbHash = '從數據庫讀取的哈希值';
if (verifyPassword($inputPassword, $dbHash)) {
// 登錄成功
}
