php – 帮我理解pack(),openssl_random_pseudo_bytes()和mt_rand

<?php 
   $salt = substr(str_replace('+','.',base64_encode(pack('N4',mt_rand(),mt_rand()))),22); 
?>

首先我要说的是,从生成的角度来看,盐没有什么特别之处.这只是另一个随机字符串.它的使用方式很特殊,但没有生成.

你的具体问题

>他为什么要替换.？

我不知道.也许是因为角色可能与网址中的空格混淆.但盐永远不应该在网址中,所以很可能不是.
> base64 / hexdec做什么：

Base64将原始字节流(每个字节的值从0到255)转换为基本64表示.它有很多资源,所以不值得深入研究.阅读the wikipedia article以获取更多信息.

hexdec将十六进制数(a-f0-9)转换为十进制数.它从基数16转换为基数10(只是表示数字的另一种方式).
>什么是位和字节：

一点是一个单位的信息.它有2个状态,0或1.字节是一系列8位.所以一个字节可以有256个唯一的组合.阅读Wikipedia …
>什么是ascii

这是一个字符集.它表示单个8位字节中的单个可打印字符.我再次建议阅读Wikipedia.

盐一般

良好的盐生成功能的目标是大熵.这意味着可能的输出数量尽可能大.所以任何方法都应该产生大量的结果.

现在,您需要定义salt的可接受字符(因为您需要存储salt以验证哈希值).最好的盐是全字节数字,而不仅仅是可显示的字符.现在,您将无法在有意义的庄园中显示它,但您无需显示它.另外,对于存储,您可以始终使用base64_encode.

接下来,您需要选择盐的浓度.盐越大越好.一个32字符的盐是可以接受的,但128字符的盐更好.盐的大小和每个字符的选项数量将决定存在的可能性的数量.一些常见的组合：

Hex,32 characters: 2e38 possibilities
Hex,128 characters: 1e154 possibilities
Full Byte,32 characters: 1e77 possibilities
Full Byte,128 characters: 1e308 possibilities

现在,您需要生成盐.关键是要根据需要进行多次随机调用以填写熵.你可以通过以下几种方式做到这一点

>系统相关(仅适用于* nix但最佳熵)：

$f = fopen('/dev/urandom','r');
$seed = fgets($f,$characters); // note that this will always return full bytes
fclose($f);

>依赖于库(很好,但需要安装OpenSSL)

$seed = openssl_random_pseudo_bytes($characters);

>后备

$seed = '';
for ($i = 0; $i < $characters; $i++) {
    $seed .= chr(mt_rand(0,255));
}

现在,您需要将其转换为所需的输出格式.

>十六进制(a-f0-9)：

$out = '';
for ($i = 0,$len = strlen($seed); $i < $len; $i++) {
    $num = ord($seed);
    $out .= dechex(floor($num / 16)) . dechex($num % 16);
}

> Base36(a-z0-9)：

$out = '';
for ($i = 0,$len = strlen($seed); $i < $len; $i++) {
    $num = ord($seed);
    $out .= base_convert($num,10,36);
}

> Base64(a-zA-Z0-9 =)：

$out = base64_encode($seed);

>完整字节：

没有必要,因为它已经采用这种格式.