我棄用了MD5加鹽的方式加密密碼，改用Bcrypt加密密碼

MD5 + Salt

密碼存儲時使用MD5算法加上鹽（salt）是一種常見的安全措施。MD5是一種廣泛使用的哈希函數，它可以將任意長度的數據轉換為128位的哈希值。但是，MD5本身并不安全，因為它容易受到多種攻擊，如碰撞攻擊和彩虹表攻擊。

760f055685c0a8fe46e8b249e45a876a

使用鹽的目的是為了增加哈希的唯一性，使得即使兩個用戶使用相同的密碼，由于鹽的不同，最終生成的哈希值也會不同。鹽是一個隨機生成的數據片段，通常在用戶注冊或密碼設置時生成，并與密碼一起哈希。

盡管使用鹽可以提高安全性，但MD5由于其已知的弱點，通常不推薦用于需要高安全性的場合。更安全的替代方案包括使用更強大的哈希算法，如SHA-256，以及采用基于密鑰的哈希算法，如bcrypt、scrypt或Argon2。這些算法設計用于抵抗暴力破解攻擊，并且通常包含內置的鹽值和/或密鑰擴展機制。

$password = 'resty123456';
$salt = '84b9b7254162b1dcb127289a3de5a873';
$password_hash = md5($password . $salt); // 760f055685c0a8fe46e8b249e45a876a

Bcrypt 特點

1. 算法靈活性：支持多種算法，包括 bcrypt、Argon2i 和 Argon2id。PHP 5.5.0 引入了 bcrypt，而 PHP 7.2.0 引入了 Argon2。
2. 內置鹽：自動為每個密碼生成一個隨機鹽值，確保即使多個用戶使用相同的密碼，他們的哈希值也會不同。
3. 成本因子：可以通過成本因子（cost factor）來調整哈希計算的復雜度，從而影響哈希生成的時間和資源消耗。這有助于抵抗暴力破解攻擊。
4. 安全存儲：生成的哈希值是唯一的，并且包含了所需的所有信息（如鹽和算法類型），因此不需要額外存儲鹽值。
5. 易于使用：提供了一個簡單的接口來生成和驗證密碼哈希，使得開發者可以輕松地在應用程序中實現安全的密碼存儲。
6. 兼容性：生成的哈希值可以在不同版本的PHP之間遷移，只要它們支持相同的算法。
7. 可配置性：可以通過傳遞選項數組來配置哈希的生成，例如設置成本因子。
8. 內置驗證：password_verify 函數可以驗證用戶輸入的密碼與存儲的哈希值是否匹配，提供了一種安全的方式來檢查密碼。
9. 安全性：由于使用了密鑰擴展的哈希函數，這些算法設計用于抵抗各種密碼攻擊，如彩虹表攻擊和暴力破解。
10. 更新性：隨著PHP版本的更新，可能會引入更安全的算法，使得密碼存儲更加安全。

官方文檔：https://www.php.net/manual/zh/password.constants.php

使用

使用 password_hash 和 password_verify 是在PHP應用程序中安全處理密碼的推薦方式，它們提供了一種簡單而有效的方法來保護用戶密碼。

示例 1

password_hash() 示例

/** 
* 我們想要使用默認算法散列密碼 
* 當前是 BCRYPT，并會產生 60 個字符的結果。
* 請注意，隨時間推移，默認算法可能會有變化， 
* 所以需要儲存的空間能夠超過 60 字（255字不錯） 
*/
 echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);

以上示例的輸出類似于

$2y$10$VVgBs.C9CSMbMKEuOjII9OaUWZWXK4VHmS0eIoN1V9JdkWaIOUsXy

示例 2

password_hash() 手動設置 cost 的示例

/** 
* 在這個案例里，我們為 BCRYPT 增加 cost 到 12。 
* 注意，我們已經切換到了，將始終產生 60 個字符。 
*/
$options = [    
'cost' => 12
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

以上示例的輸出類似于

$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

示例 #3

尋找最佳 cost 的 password_hash() 示例

/** 
* 這個示例對服務器做了基準測試（benchmark），檢測服務器能承受多高的 cost 
* 在不明顯拖慢服務器的情況下可以設置最高的值 
* 10 是個不錯的底線，在服務器夠快的情況下，越高越好。 
* 以下代碼目標為 ≤ 350 毫秒（milliseconds）， 
* 對于處理交互式登錄的系統來說，這是一個合適的延遲時間。 
*/
$timeTarget = 0.350; // 350 毫秒（milliseconds） 
$cost = 10;
do {
    $cost++;
    $start = microtime(true);
    password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
    $end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Appropriate Cost Found: " . $cost;

以上示例的輸出類似于

Appropriate Cost Found: 12

示例 #4

使用 Argon2i 的 password_hash() 示例

echo 'Argon2i hash: ' . password_hash('rasmuslerdorf', PASSWORD_ARGON2I);

以上示例的輸出類似于

Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0

驗證

password_verify 驗證密碼是否和散列值匹配。假設我們這里的密碼是resty123456

// 默認算法散列密碼
$password_hash = password_hash("resty123456", PASSWORD_DEFAULT);
echo '[x] Password Hash ' . $password_hash . PHP_EOL;// 密碼驗證
if (password_verify('resty123456', $password_hash)) {
    echo '[x] Password is valid!';
} else {
    echo '[x] Invalid password.';
}

以上示例會輸出

[x] Password Hash $2y$10$R7x/EzU9uNJ4bXs00G6dLukll9Cm796zu9XgGCO0VltrFAlbOPkTe
[x] Password is valid!

[x] Password Hash $2y$10$6JQg9FTJNN/7sXEcmDe9luRkYst5cpikku9tZwYM67C2THnRAt7C6
[x] Password is valid!

password_verify 函數的第一個參數是用戶輸入的密碼，第二個參數是數據庫中存儲的哈希密碼。這個函數會自動比較輸入的密碼和哈希密碼是否一致，并返回一個布爾值。

小結

快易數據中心在使用 password_hash 函數進行密碼哈希處理時，PHP會自動為每個密碼生成一個獨一無二的鹽值，這個鹽值會與密碼一起存儲在哈希密碼中，從而增加密碼的安全性。

使用password_hash和password_verify是處理PHP應用中用戶密碼的最安全和推薦的方式。它們提供了內置的鹽值和成本因子，以確保密碼存儲的安全性。