比较散列字符串的最佳方法是什么？ (PHP)

发布时间：2020-12-13 17:52:06 所属栏目：PHP教程来源：网络整理

导读：我应该使用if(strcmp(md5($string),$hash)== 0)或if(md5($string)== $hash) 在比较哈希时,你应该非常小心地进行身份验证,因为你可能会打开窗口进行定时攻击. 虽然听起来非常违反直觉,但你应该对字符串进行全面比较,避免任何优化(即如果字符不同则提前退出).

我应该使用if(strcmp(md5($string),$hash)== 0)或if(md5($string)== $hash)

在比较哈希时,你应该非常小心地进行身份验证,因为你可能会打开窗口进行定时攻击.

虽然听起来非常违反直觉,但你应该对字符串进行全面比较,避免任何优化(即如果字符不同则提前退出).

以下是有关此问题的一些链接：

> https://wiki.php.net/rfc/timing_attack
> http://codahale.com/a-lesson-in-timing-attacks/
> http://carlos.bueno.org/2011/10/timing.html

以下是一些想法,以解决它：

>最快最简单：只要使用hash_equals()(PHP 5.6及更高版本).
> https://github.com/symfony/polyfill-php56/blob/master/Php56.php(hash_equals()polyfill)
> https://github.com/zendframework/zend-crypt/blob/master/src/Utils.php(compareStrings())

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!