W3Cschool
恭喜您成為首批注冊(cè)用戶
獲得88經(jīng)驗(yàn)值獎(jiǎng)勵(lì)
(PHP 5 >= 5.6.0, PHP 7, PHP 8)
hash_equals — 可防止時(shí)序攻擊的字符串比較
hash_equals(string $known_string, string $user_string): bool
檢查兩個(gè)字符串是否相等,而不會(huì)通過(guò)執(zhí)行時(shí)泄露有關(guān) known_string 內(nèi)容的任何信息。
此函數(shù)可用于緩解計(jì)時(shí)攻擊。使用 === 進(jìn)行常規(guī)比較所需的時(shí)間的長(zhǎng)短取決于兩個(gè)值是否不同以及可以找到第一個(gè)不同的位置,從而泄露有關(guān) known_string 內(nèi)容的秘密信息。
警告
非常重要的一點(diǎn)是,用戶提供的字符串必須是第二個(gè)參數(shù)。
known_string
必須保密的已知 string。
user_string
與已知字符串進(jìn)行比較的用戶提供的 string。
當(dāng)兩個(gè)字符串相等時(shí)返回 true,否則返回 false。
示例 #1 hash_equals() 示例
<?php
$secretKey = '8uRhAeH89naXfFXKGOEj';
// 值和簽名是由用戶提供的,例如在 URL 中,使用 $_GET 檢索。
$value = 'username=rasmuslerdorf';
$signature = '8c35009d3b50caf7f5d2c1e031842e6b7823a1bb781d33c5237cd27b57b5f327';
if (hash_equals(hash_hmac('sha256', $value, $secretKey), $signature)) {
echo "The value is correctly signed.", PHP_EOL;
} else {
echo "The value was tampered with.", PHP_EOL;
}
?>
以上示例會(huì)輸出:
The value is correctly signed.
注意:要想成功進(jìn)行比較,那么所提供的 2 個(gè)參數(shù)必須是相同長(zhǎng)度的字符串。 如果所提供的字符串長(zhǎng)度不同,那么本函數(shù)會(huì)立即返回 false, 在時(shí)序攻擊的場(chǎng)景下,已知字符串的長(zhǎng)度可能會(huì)被泄露。
Copyright©2021 w3cschool編程獅|閩ICP備15016281號(hào)-3|閩公網(wǎng)安備35020302033924號(hào)
違法和不良信息舉報(bào)電話:173-0602-2364|舉報(bào)郵箱:jubao@eeedong.com
掃描二維碼
下載編程獅App
編程獅公眾號(hào)
聯(lián)系方式:
更多建議: