PHP8 hash_equals

2024-03-01 09:26 更新

(PHP 5 >= 5.6.0, PHP 7, PHP 8)

hash_equals — 可防止時(shí)序攻擊的字符串比較

說(shuō)明

hash_equals(string $known_string, string $user_string): bool

檢查兩個(gè)字符串是否相等,而不會(huì)通過(guò)執(zhí)行時(shí)泄露有關(guān) known_string 內(nèi)容的任何信息。

此函數(shù)可用于緩解計(jì)時(shí)攻擊。使用 === 進(jìn)行常規(guī)比較所需的時(shí)間的長(zhǎng)短取決于兩個(gè)值是否不同以及可以找到第一個(gè)不同的位置,從而泄露有關(guān) known_string 內(nèi)容的秘密信息。

警告

非常重要的一點(diǎn)是,用戶提供的字符串必須是第二個(gè)參數(shù)。

參數(shù) 

known_string

必須保密的已知 string。

user_string

與已知字符串進(jìn)行比較的用戶提供的 string。

返回值 

當(dāng)兩個(gè)字符串相等時(shí)返回 true,否則返回 false。

示例 

示例 #1 hash_equals() 示例

<?php
$secretKey = '8uRhAeH89naXfFXKGOEj';

// 值和簽名是由用戶提供的,例如在 URL 中,使用 $_GET 檢索。
$value = 'username=rasmuslerdorf';
$signature = '8c35009d3b50caf7f5d2c1e031842e6b7823a1bb781d33c5237cd27b57b5f327';

if (hash_equals(hash_hmac('sha256', $value, $secretKey), $signature)) {
    echo "The value is correctly signed.", PHP_EOL;
} else {
    echo "The value was tampered with.", PHP_EOL;
}
?>

以上示例會(huì)輸出:

The value is correctly signed.

注釋 

注意:要想成功進(jìn)行比較,那么所提供的 2 個(gè)參數(shù)必須是相同長(zhǎng)度的字符串。 如果所提供的字符串長(zhǎng)度不同,那么本函數(shù)會(huì)立即返回 false, 在時(shí)序攻擊的場(chǎng)景下,已知字符串的長(zhǎng)度可能會(huì)被泄露。

參見(jiàn) 

  • hash_hmac() - 使用 HMAC 方法生成帶有密鑰的散列值


以上內(nèi)容是否對(duì)您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號(hào)
微信公眾號(hào)

編程獅公眾號(hào)