PHP程序员：6年前都告诉过你md5密码不安全，直到今天你还在犯错

引言

作为php开发人员，年前很长一段时间以来，都告到今很多人一直在使用md5哈希算法来保护密码数据并生成唯一的诉过哈希算法。但是密码你应该或多或少听到过，md5不再安全了!

PHP 5.5中有一些密码身份验证替代方案，不安即 sha1，全直password_hash?天还为什么被认为更安全?应该怎么选择?

学习时间

很多研究论文已经证明过了，md5 计算出的犯错哈希值可以被逆向。我们也应该完全停止使用。年前论文的都告到今名字也非常具有冲击力《How to Break MD5 and Other Hash Functions》，演示了整个逆向的诉过过程，可谓触目惊心，密码看的不安我瑟瑟发抖。

作为升级版的全直用法，password_hash 函数安全系数足够强大到抵御一段时间的天还破解。在 PHP 5.5 中可以放心使用。云服务器提供商后来加入到标准库中的 crypt 函数，则把安全级别向前推进了一大步。

首先举例说明一下 password_hash 的用法：

$options = [     cost => 12, ]; echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n"; 

还有使用 BLOWFISH 算法的 crypt 密码生成：

if (CRYPT_BLOWFISH == 1) {      echo Blowfish:      . crypt(rasmuslerdorf, $2a$07$usesomesillystringforsalt$) . "\n"; } 

还是那句话，PHP 都准备好函数了，用法极为简单高效，等着开发者开箱即用呢。

深入一步

为什么坚决不能再用 md5 了?

因为诸如MD5，SHA1和SHA256之类的哈希算法被设计为非常快速和高效。随着现代技术和计算机设备的出现，“暴力破解”所需要的时间越来越短。由于现代计算机“逆向”这些哈希算法的速度很快，因此许多安全专业人员强烈建议不要将其用于密码哈希。

为什么 PHP 5.5 中推荐使用 password_hash 函数?

在对密码进行哈希处理时，两个最重要的考虑因素是亿华云计算量和费用。哈希算法在计算上越昂贵，对它进行暴力破解所花费的时间就越长。PHP 5.5提供了一个本机密码哈希API，就是password_hash()，可以安全地安全处理哈希和验证密码。

写在最后

计算机硬件的突飞猛进，使得原本需要大量的时间和成本才能进行的破解工作周期大为缩短。在软件层面，我们势必要跟得上节奏，才能保证在一段时间内的安全。

再者，PHP 提供的函数如此高效，简单，有什么理由不用呢!