PHP8 hash_equals

2024-03-01 09:26 更新

(PHP 5 >= 5.6.0, PHP 7, PHP 8)

hash_equals — 可防止時序攻擊的字符串比較

說明

hash_equals(string $known_string, string $user_string): bool

檢查兩個字符串是否相等,而不會通過執(zhí)行時泄露有關(guān) known_string 內(nèi)容的任何信息。

此函數(shù)可用于緩解計時攻擊。使用 === 進行常規(guī)比較所需的時間的長短取決于兩個值是否不同以及可以找到第一個不同的位置,從而泄露有關(guān) known_string 內(nèi)容的秘密信息。

警告

非常重要的一點是,用戶提供的字符串必須是第二個參數(shù)。

參數(shù) 

known_string

必須保密的已知 string。

user_string

與已知字符串進行比較的用戶提供的 string。

返回值 

當兩個字符串相等時返回 true,否則返回 false。

示例 

示例 #1 hash_equals() 示例

<?php
$secretKey = '8uRhAeH89naXfFXKGOEj';

// 值和簽名是由用戶提供的,例如在 URL 中,使用 $_GET 檢索。
$value = 'username=rasmuslerdorf';
$signature = '8c35009d3b50caf7f5d2c1e031842e6b7823a1bb781d33c5237cd27b57b5f327';

if (hash_equals(hash_hmac('sha256', $value, $secretKey), $signature)) {
    echo "The value is correctly signed.", PHP_EOL;
} else {
    echo "The value was tampered with.", PHP_EOL;
}
?>

以上示例會輸出:

The value is correctly signed.

注釋 

注意:要想成功進行比較,那么所提供的 2 個參數(shù)必須是相同長度的字符串。 如果所提供的字符串長度不同,那么本函數(shù)會立即返回 false, 在時序攻擊的場景下,已知字符串的長度可能會被泄露。

參見 

  • hash_hmac() - 使用 HMAC 方法生成帶有密鑰的散列值


以上內(nèi)容是否對您有幫助:
在線筆記
App下載
App下載

掃描二維碼

下載編程獅App

公眾號
微信公眾號

編程獅公眾號