PHP-Einfach.de
  • PHP Tutorial
  • MySQL Tutorial
  • Für Fortgeschrittene
  • Webhosting
  • Jobs
  • Forum

Codeschnipsel

Passwort Hash API für >= PHP 5.1.2

Zurück zur Übersicht
Eine API zum sicheren Abspeichern von Passwörtern.

Moin zusammen!

Ich hatte ein wenig Langweile und hab mir gedacht, ich schreibe einfach mal zwei kleine Funktionen, die an die neue Passwort-API von PHP 5.5 angelehnt ist (deswegen auch die umgedrehten Funktionsnamen).

Es ging mir darum, dass sehr sehr viele Hoster zwar 5.1.2 oder ein wenig höher unterstützen, aber selten 5.3.7 und höher, was aber erforderlich ist, um die neue Passwort-API bzw. die Übergangsfunktionen für 5.3.7+ nutzen zu können.

Hier sind die zwei Funktionen:
<?php

function hash_password($password, $algo = 'sha256', $rounds = 20)
{

    if( 
function_exists('openssl_random_pseudo_bytes') )
    {
        
$salt = bin2hex(openssl_random_pseudo_bytes(6));
    }
    else
    {
        
$salt = substr(str_shuffle(sha1(mt_rand(0,9999).microtime(true).mt_rand(0,9999))), mt_rand(0,12), 12);
    }

    
$hash = $password;

    for(
$i=0; $i < $rounds; $i++)
    {
        
$hash = hash($algo, $salt.$hash);
    }

    return 
$algo.'$'.$rounds.'$'.$salt.'$'.$hash;
}

function 
verify_password($password, $hash)
{
    
$options = explode('$', $hash);

    if(
count($options) != 4)
    {
        return 
false;
    }

    
$password_hash = $password;

    for(
$i=0; $i < $options[1]; $i++)
    {
        
$password_hash = hash($options[0], $options[2].$password_hash);
    }

    return (
$options[3] === $password_hash);
}


In diesem Fall habe ich standardmäßig mal den Algorithmus sha251 ausgewählt und die Runden auf 20 gesetzt. Beides kann man ganz leicht über das abändern der Standardwerten der Parameter der hash_password Funktion einstellen.
Das ist sogar dann noch möglich, wenn es bereits Passwörter gibt, die mit dieser Funktion gehasht wurden, da die nötigen Informationen im endgültigen String/Hash enthalten sind.
So kann man z.B. mit der Zeit die Rundenanzahl (rounds) ein wenig nach oben schrauben oder einen sichereren Algorithmus zum Hashen wählen.

Die Verwendung ist recht einfach:
<?php

// Hash erstellen (Wenn Benutzer angelegt oder Passwort geändert wird)
$hash = hash_password($passwort_im_klartext);

// Passwort mit Hash aus der Datenbank vergleichen (z.B. beim Login)
if( verify_password($passwort_im_klartext, $hash_aus_datenbank) )
{
    echo 
"Passwort stimmt!";
}
else
{
    echo 
"Passwort ist falsch!";
}


In der Standardeinstellung wird der Algorithmus sha256 verwendet. Zusammen mit den anderen Informationen liefert die Funktion hash_password also einen String mit 87 Zeichen zurück.
Dieser String ist wie folgt aufgebaut:
algorithmus$rundenanzahl$salt$hash


Vielleicht hilft es ja dem ein oder anderen dabei die Passwörter seiner Nutzer sicherer in der Datenbank zu speichern. Sicherer als MD5 oder SHA1 ist es auf jeden Fall und verwendet einen zufälligen Salt für jeden Hash, was diesen nochmals deutlich sicherer und die Implementierung eines Salts deutlich vereinfacht.
Zusätzlich wird für das Generieren des Salts wenn möglich ein kryptographischer Zufallszahlengenerator verwendet. Ist dies nicht möglich, wird ein Fallback mit mt_rand verwendet.

Verwendet man jedoch PHP 5.3.7 oder höher, sollte man sich folgendes Skript genauer anschauen https://github.com/ircmaxell/password_compat
bzw. die native Password API, wenn man PHP 5.5 oder höher verwendet http://php.net/manual/de/ref.password.php

Kommentare

Autor DingsDaBums

Zurück zur Übersicht
Autor: Nils Reimers
Zurück: URLs im Text identifizieren

Für Fortgeschrittene

  • Objektorientierte Programmierung
  • PHP Sicherheit
  • Script-Beispiele
  • Codeschnipsel
  • Stellenmarkt
Mit freundlicher Unterstützung von:
  • Punkt191 Werbeagentur
  • Casinopilot24.com
  • Casino utan Spelpaus
  • Casino utan Spelpaus med Trustly
  • Neueonline-Casinos.com
  • CasinoHEX.at
  • Decasinos.de
  • Privatkredit247.com
  • CasinoAdvisers.com
  • parhaatuudetkasinot.com
  • Online Casino Spielautomaten

Hoster – Geringste Ausfallzeit

  1. webgo Ø 1 Min.
  2. netcup Ø 5 Min.
  3. Linevast Ø 7 Min.
  4. Mittwald Ø 13 Min.
  5. manitu Ø 14 Min.
  6. dogado Ø 14 Min.
  7. All-Inkl.com Ø 20 Min.
  8. Host Europe Ø 21 Min.
  9. bplaced Ø 22 Min.
  10. Strato Ø 26 Min.
» Mehr erfahren

Impressum | Datenschutz | Auf PHP-Einfach.de werben

© PHP-Einfach.de 2003 - 2021

Um dich beim Lernen von PHP und MySQL zu unterstützen verwenden wir Cookies. OK Weitere Infos
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Notwendige
immer aktiv

Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.

Nicht notwendige

Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.