## 使用 [phpass](http://www.openwall.com/phpass/) 库来哈希和比较密码 经 phpass 0.3 测试，在存入数据库之前进行哈希保护用户密码的标准方式。 许多常用的哈希算法如 md5，甚至是 sha1 对于密码存储都是不安全的， 因为[骇客能够使用那些算法轻而易举地破解密码](http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/)。 对密码进行哈希最安全的方法是使用 bcrypt 算法。开源的 phpass 库以一个易于使用的类来提供该功能。 ## 示例 ~~~ <?php // Include phpass 库 require_once('phpass-03/PasswordHash.php') // 初始化散列器为不可移植(这样更安全) $hasher = new PasswordHash(8, false); // 计算密码的哈希值。$hashedPassword 是一个长度为 60 个字符的字符串. $hashedPassword = $hasher->HashPassword('my super cool password'); // 你现在可以安全地将 $hashedPassword 保存到数据库中! // 通过比较用户输入内容（产生的哈希值）和我们之前计算出的哈希值，来判断用户是否输入了正确的密码 $hasher->CheckPassword('the wrong password', $hashedPassword); // false $hasher->CheckPassword('my super cool password', $hashedPassword); // true ?> ~~~ ## 陷阱 * 许多资源可能推荐你在哈希之前对你的密码“加盐”。想法很好，但 phpass 在 HashPassword() 函数中已经对你的密码“加盐”了，这意味着你不需要自己“加盐”。 ## 进一步阅读 * [phpass](http://www.openwall.com/phpass/) * [为什么使用 md5 或 sha 哈希密码是不安全的](http://blogs.msdn.com/b/lixiong/archive/2011/12/25/md5-sha1-salt-and-bcrypt.aspx)（[中文](http://blogs.msdn.com/b/lixiong/archive/2011/12/25/md5-sha1-salt-bcrypt.aspx)） * [怎样安全地存储密码](http://codahale.com/how-to-safely-store-a-password/)