php单向hash加密 hash加密算法

很多站长朋友们都不太清楚php单向hash加密，今天小编就来给大家整理php单向hash加密，希望对各位有所帮助，具体内容如下：

本文目录一览： 1、 php源码怎么加密 2、 php 登录注册用哈希加密怎么做？ 3、 php hash 是可逆的吗 4、 laravel和thinkphp的区别是什么？ 5、 PHP常用加密解密方法 6、 PHP如何做好最基础的安全防范 php源码怎么加密

一、无需任何PHP扩展的加密

此类加密的代表有 威盾PHP加密专家、PHP在线加密平台、PHP神盾 等。

此类加密都是以eval函数为核心，辅以各式各样的字符串混淆和各种小技巧，来达到加密目的（更准确的说，应该算是混淆）。下面以一个简单的hello world为例来说明此类加密的大体过程。

<?php

echo "hello world";

首先 ，我们把这段代码变为通过eval执行的

<?php

eval('echo "hello world";');

然后 ，我们再进行一些转换，比如说base64编码

<?php

eval(base64_decode('ZWNobyAiaGVsbG8gd29ybGQiOw=='));

就这样子，我们的第一个加密过的php代码新鲜出炉了。。。

上面这个例子非常非常简单，基本上任何有一点php语言基础甚至别的语言基础的人都能轻松的看懂并解密。因此，我们需要一些方法让这个加密至少看上去不是那么简单。

二、同时采用多种编码函数

除了刚才提到的base64，php还有许多内置的编码函数，例如urlencode、gzcompress等。把这些函数混合使用可以提高解密的复杂度（不是难度），此外还可以使用strtr来制定自己的编码规则。 使用变量来代替函数名 使用特定字符来命名变量

这儿所说的特定字符是一些极其相似的字符，如I和1，0和O。试想一下满屏都是O和0组成的变量，并且每一个的名字长度都在10个字符以上。。。 判断文件自身是否被修改

这个功能看似容易，对文件做一下摘要再进行下对比即可知道是否被修改了，但是如何才能在文件内把摘要嵌入进去呢？我没有找到完美的方案，但一个变通的方案还是很容易的。。。

<?php

$code = substr(file_get_contents(__FILE__), 0, -32);

$hash = substr(file_get_contents(__FILE__), -32);

if (md5($code) !== $hash) {

exit('file edited');

}

ACBC41F727E00F85BEB3440D751BB4E3

当然，你可以把这个校验字符串放在别的位置来提高破解的难度。有了这个，别人想破解你的程序可就得多费一点功夫了。。。

既然知道了原理，那解密自然也就非常简单了，总体来说就三步：

把eval替换为输出，比如echo 根据编码规则把字符串还原 如果文件未解密完全，从第一步开始继续

当然，实际上的解密过程并没有这么简单，比如说如果加密的时候使用了gzcompress，那得到的数据将会包含一些二进制数据，而采用一般的文本编辑器打开时这些数据都会显示为乱码，并且在保存时丢失部分数据。解决方法很简单也很麻烦，那就是使用二进制（16进制）方式打开、修改和保存。

php 登录注册用哈希加密怎么做？

// 加密

$hash_password = hash_password($password, PASSWORD_DEFAULT);

// 验证

if (password_verify($password, $hash_password)) {

// 密码正确

} else {

// 密码错误

}

php hash 是可逆的吗

hash 算法是单向密码体制，是不可逆。 希望能帮到你，我还在后盾网上课学习呢现在没时间，有不会的可以问我，加油吧⁽˙³˙⁾◟(๑•́ ₃ •̀๑)◞⁽˙³˙⁾

laravel和thinkphp的区别是什么？

一、渲染模版方式的不同

1、在Laravel框架里，使用return view()来渲染模版；

2、而ThinkPHP里则使用了$this->display()的方式渲染模版。

二、条件判断语句书写方式不同

1、Laravel框架里if else判断语句和foreach语句，书写时必须以@if开头，以@endif结尾。如果没有则报语法错误，@foreach @endforeach同理；

2、而TP框架则和PHP语法规则使用方式一致，直接用if esle语句判断和foreach循环遍历

三、post传值中注意点不同

1、在Laravel框架里，由于其考虑到了跨站攻击，所以如果使用form表单以post方式进行传值时，如果不再form表单中加入{{csrf_field()}}则会报出TokenMethodnotfound的语法错误，

2、而TP框架则需要自己手动完成防止跨站攻击的代码。

四、加密方式不同

1、在TP框架中，我们对用户名密码进行加密时使用md5();的方式进行加密。但md5的缺点在于其可以逆向破解，而且在同等规则下同样的密码md5加密出的字符串是有可能出现相同的，这就降低其安全性。

2、但在Laravel框架中内置了"哈希"Hash加密单向加密方法，且同样的参数加密出的字符串是绝对不会出现相同的情况，这就提高了安全性。

扩展资料：

在实际开发中常常遇到这样的问题，就是开发地点不固定。这就造成了需要频繁的更改数据库配置，给开发工作造成了麻烦。TP依然没有避免这个"灾难"，在laravel框架中，.env环境文件的出现解决了这个麻烦。需要在不同的工作地点配置好.env文件就不避再进行配置，因为无论是git还是svn，“.env是不会随着文件一起提交到服务器的”。

PHP常用加密解密方法

作者/上善若水

1.md5(string $str,bool $flag = false);

$flag = false 默认返回32位的16进至数据散列值

$flag = true  返回原始流数据

2.sha1($string,$flag = false)

$flag = false 默认返回40位的16进至数据散列值

true  返回原始流数据

3.hash(string $algo,srting $str,bool $flag);

$algo : 算法名称，可通过hash_algos()函数获取所有hash加密的算法

如：md5,sha1等，采用md5,sha1加密所得结果和1,2两种方式结 果相同。

$flag = false 默认返回16进至的数据散列值，具体长度根据算法不同

而不同。

true  返回原始流数据。

4.crypt(string $str,$string $salt)；

函数返回使用 DES、Blowfish 或 MD5 算法加密的字符串。

具体算法依赖于PHP检查之后支持的算法和$salt的格式和长度，当 然具体结果也和操作系统有关。比较结果采用 hash_equals($crypted,crypt($input,$salt));//且salt值相同

Password_verify($str,$crypted);

5.password_hash ( string $str, integer $algo [, array $options ] )

函数返回哈希加密后的密码字符串， password_hash() 是crypt()的 一个简单封装

$algo : 算法 PASSWORD_DEFAULT ，PASSWORD_BCRYPT

$options = [

“cost”=>10，//指明算法递归的层数,

“salt”=>“xxadasdsad”//加密盐值，即将被遗 弃，采用系统自动随机生成安全性更高

]；

使用的算法、cost 和盐值作为哈希的一部分返回

Password_verify($str,$hashed);

6.base64_encode(string $str)

设计此种编码是为了使二进制数据可以通过非纯 8-bit 的传输层 传输，例如电子邮件的主体。base64_decode(string $encoded)

可以进行解码;

7.mcrypt_encrypt ( string $cipher , string $key , string $data ,

string $mode [, string $iv ] )

mcrypt_decrypt ( string $cipher , string $key , string $crypted ,

string $mode [, string $iv ] )

$ciper:加密算法，mcrypt_list_algorithms()可以获取该函数所有支持的算法

如MCRYPT_DES(“des”),MCRYPT_RIJNDAEL_128(“rijndael-128”);

$mode : 加密模式 ，mcrypt_list_modes()获取所有支持的加密模式，ecb,cbc

$key: 加密的秘钥，mcrypt_get_key_size ( string $cipher , string $mode )

获取指定的算法和模式所需的密钥长度。$key要满足这个长度，如果长 度无效会报出警告。

$iv : 加密的初始向量，可通过mcrypt_create_iv ( int $size [, int $source = MCRYPT_DEV_URANDOM ] )，

Iv的参数size：

通过mcrypt_get_iv_size ( string $cipher , string $mode )获取

Iv 的参数source：

初始向量数据来源。可选值有： MCRYPT_RAND （系统随机数生成 器）, MCRYPT_DEV_RANDOM （从 /dev/random 文件读取数据） 和  MCRYPT_DEV_URANDOM （从 /dev/urandom 文件读取数据）。 在 Windows 平台，PHP 5.3.0 之前的版本中，仅支持 MCRYPT_RAND。

请注意，在 PHP 5.6.0 之前的版本中， 此参数的默认值 为 MCRYPT_DEV_RANDOM。

Note: 需要注意的是，如果没有更多可用的用来产生随机数据的信息， 那么 MCRYPT_DEV_RANDOM 可能进入阻塞状态。

$data : 要加密的字符串数据

PHP如何做好最基础的安全防范

PHP如何做好最基础的安全防范

php给了开发者极大的灵活性，但是这也为安全问题带来了潜在的隐患，PHP如何做好最基础的安全防范呢？下面我为大家解答一下，希望能帮到您！

当开发一个互联网服务的时候，必须时刻牢记安全观念，并在开发的代码中体现。PHP脚本语言对安全问题并不关心，特别是对大多数没有经验的开发者来说。每当你讲任何涉及到钱财事务等交易问题时，需要特别注意安全问题的考虑，例如开发一个论坛或者是一个购物车等。

安全保护一般性要点

不相信表单

对于一般的Javascript前台验证，由于无法得知用户的行为，例如关闭了浏览器的javascript引擎，这样通过POST恶意数据到服务器。需要在服务器端进行验证，对每个php脚本验证传递到的数据，防止XSS攻击和SQL注入。

不相信用户

要假设你的网站接收的每一条数据都是存在恶意代码的，存在隐藏的威胁，要对每一条数据都进行清理

关闭全局变量

在php.ini文件中进行以下配置：

register_globals = Off

如果这个配置选项打开之后，会出现很大的安全隐患。例如有一个process.php的脚本文件，会将接收到的数据插入到数据库，接收用户输入数据的表单可能如下：

< input name="username" type ="text" size = "15" maxlength = "64" >

这样，当提交数据到process.php之后，php会注册一个$username变量，将这个变量数据提交到process.php，同时对于任何POST或GET请求参数，都会设置这样的变量。如果不是显示进行初始化那么就会出现下面的问题：

<?php

// Define $authorized = true only if user is authenticated

if

(authenticated_user()) {

$authorized = true;

}

?>

此处，假设authenticated_user函数就是判断$authorized变量的值，如果开启了register_globals配置，那么任何用户都可以发送一个请求，来设置$authorized变量的值为任意值从而就能绕过这个验证。所有的这些提交数据都应该通过PHP预定义内置的全局数组来获取，包括$_POST、$_GET、$_FILES、$_SERVER、$_REQUEST等，其中$_REQUEST是一个$_GET/$_POST/$_COOKIE三个数组的联合变量，默认的顺序是$_COOKIE、$_POST、$_GET。

推荐的安全配置选项

error_reporting设置为Off：不要暴露错误信息给用户，开发的时候可以设置为ON

safe_mode设置为Off

register_globals设置为Off

将以下函数禁用：system、exec、passthru、shell_exec、proc_open、popen

open_basedir设置为 /tmp ，这样可以让session信息有存储权限，同时设置单独的网站根目录expose_php设置为Offallow_url_fopen设置为Offallow_url_include设置为Off

SQL注入攻击

对于操作数据库的SQL语句，需要特别注意安全性，因为用户可能输入特定语句使得原有的SQL语句改变了功能。类似下面的例子：

$sql ="select * from pinfo where product = '$product'";

此时如果用户输入的$product参数为：'39'; DROP pinfo; SELECT 'FOO

那么最终SQL语句就变成了如下的`样子：

select product from pinfo where product = '39';

DROP pinfo;

SELECT 'FOO'

这样就会变成三条SQL语句，会造成pinfo表被删除，这样会造成严重的后果。这个问题可以简单的使用PHP的内置函数解决：

$sql = 'Select * from pinfo where product = '"' mysql_real_escape_string($product) . '"';

防止SQL注入攻击需要做好两件事：对输入的参数总是进行类型验证对单引号、双引号、反引号等特殊字符总是使用mysql_real_escape_string函数进行转义但是，这里根据开发经验，不要开启php的Magic Quotes，这个特性在php6中已经废除，总是自己在需要的时候进行转义。

防止基本的XSS攻击

XSS攻击不像其他攻击，这种攻击在客户端进行，最基本的XSS工具就是防止一段javascript脚本在用户待提交的表单页面，将用户提交的数据和cookie偷取过来。XSS工具比SQL注入更加难以防护，各大公司网站都被XSS攻击过，虽然这种攻击与php语言无关，但可以使用php来筛选用户数据达到保护用户数据的目的，这里主要使用的是对用户的数据进行过滤，一般过滤掉HTML标签，特别是a标签。下面是一个普通的过滤方法：

function transform_HTML( $string , $length null) { // Helps prevent XSS attacks

// Remove dead space.

$string = trim( $string );

// Prevent potential Unicode codec problems.

$string = utf8_decode( $string );

// HTMLize HTML-specific characters.

$string = htmlentities( $string , ENT_NOQUOTES);

$string = str_replace ( "#" , "#" , $string );

$string = str_replace ( "%" , "%" , $string );

$length = intval ( $length );

if ( $length > 0) {

$string = substr ( $string , 0, $length );

}return $string ;

}

这个函数将HTML的特殊字符转换为了HTML实体，浏览器在渲染这段文本的时候以纯文本形式显示。如bold会被显示为： BoldText 上述函数的核心就是htmlentities函数，这个函数将html特殊标签转换为html实体字符，这样可以过滤大部分的XSS攻击。但是对于有经验的XSS攻击者，有更加巧妙的办法进行攻击：将他们的恶意代码使用十六进制或者utf-8编码，而不是普通的ASCII文本，例如可以使用下面的方式进行：

这样浏览器渲染的结果其实是：

< a href = "" >

< SCRIPT >Dosomethingmalicious

这样就达到了攻击的目的。为了防止这种情况，需要在transform_HTML函数的基础上再将#和%转换为他们对应的实体符号，同时加上了$length参数来限制提交的数据的最大长度。

使用SafeHTML防止XSS攻击

上述关于XSS攻击的防护非常简单，但是不包含用户的所有标记，同时有上百种绕过过滤函数提交javascript代码的方法，也没有办法能完全阻止这个情况。目前，没有一个单一的脚本能保证不被攻击突破，但是总有相对来说防护程度更好的。一共有两个安全防护的方式：白名单和黑名单。其中白名单更加简单和有效。一种白名单解决方案就是SafeHTML，它足够智能能够识别有效的HTML，然后就可以去除任何危险的标签。这个需要基于HTMLSax包来进行解析。安装使用SafeHTML的方法：

1、前往 下载最新的SafeHTML

2、将文件放入服务器的classes 目录，这个目录包含所有的SafeHTML和HTMLSax库

3、在自己的脚本中包含SafeHTML类文件

4、建立一个SafeHTML对象

5、使用parse方法进行过滤

<?php/* If you're storing the HTMLSax3.php in the /classes directory, along

with the safehtml.php script, define XML_HTMLSAX3 as a null string. */define(XML_HTMLSAX3, '' );// Include the class file.require_once ( 'classes/safehtml.php' );

// Define some sample bad code.

$data = This data would raise an alert

" ;// Create a safehtml object.$safehtml = new safehtml();// Parse and sanitize the data.$safe_data = $safehtml ->parse( $data );// Display result. echo 'The sanitized data is ' . $safe_data ;

?>

SafeHTML并不能完全防止XSS攻击，只是一个相对复杂的脚本来检验的方式。

使用单向HASH加密方式来保护数据

单向hash加密保证对每个用户的密码都是唯一的，而且不能被破译的，只有最终用户知道密码，系统也是不知道原始密码的。这样的一个好处是在系统被攻击后攻击者也无法知道原始密码数据。加密和Hash是不同的两个过程。与加密不同，Hash是无法被解密的，是单向的；同时两个不同的字符串可能会得到同一个hash值，并不能保证hash值的唯一性。MD5函数处理过的hash值基本不能被破解，但是总是有可能性的，而且网上也有MD5的hash字典。

使用mcrypt加密数据MD5 hash函数可以在可读的表单中显示数据，但是对于存储用户的信用卡信息的时候，需要进行加密处理后存储，并且需要之后进行解密。最好的方法是使用mcrypt模块，这个模块包含了超过30中加密方式来保证只有加密者才能解密数据。

<?php$data = "Stuff you want encrypted" ;

$key = "Secret passphrase used to encrypt your data" ;

$cipher = "MCRYPT_SERPENT_256" $mode = "MCRYPT_MODE_CBC" ;function encrypt( $data, $key , cipher , $mode ) {// Encrypt datareturn (string) base64_encode ( mcrypt_encrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), $data , $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) ) );

}function decrypt( $data , $key ,$cipher , $mode ) {// Decrypt data

return (string) mcrypt_decrypt ( $cipher , substr (md5( $key ),0,mcrypt_get_key_size( $cipher , $mode )), base64_decode ( $data ), $mode , substr (md5( $key ),0,mcrypt_get_block_size( $cipher , $mode )) );

}?>

mcrypt函数需要以下信息：

1、待加密数据

2、用来加密和解密数据的key

3、用户选择的加密数据的特定算法（cipher：

如 MCRYPT_TWOFISH192

,MCRYPT_SERPENT_256， MCRYPT_RC2

, MCRYPT_DES

, and MCRYPT_LOKI97

）

4、用来加密的模式

5、加密的种子，用来起始加密过程的数据，是一个额外的二进制数据用来初始化加密算法

6、加密key和种子的长度，使用mcrypt_get_key_size函数和mcrypt_get_block_size函数可以获取如果数据和key都被盗取，那么攻击者可以遍历ciphers寻找开行的方式即可，因此我们需要将加密的key进行MD5一次后保证安全性。同时由于mcrypt函数返回的加密数据是一个二进制数据，这样保存到数据库字段中会引起其他错误，使用了base64encode将这些数据转换为了十六进制数方便保存。

;

关于php单向hash加密的介绍到此就结束了，不知道本篇文章是否对您有帮助呢？如果你还想了解更多此类信息，记得收藏关注本站，我们会不定期更新哦。

查看更多关于php单向hash加密 hash加密算法的详细内容...