摘要:在比較兩個字符串����,無論它們是否相等,函數(shù)的時間消耗是恒定的���,可以用來防止時序攻擊����。
引言
最近���,在 Hacker News 上有一篇帖子(https://news.ycombinator.com/item?id=9484757)���,提到了一種探測網(wǎng)站密碼加密方式的方法。
結(jié)果都是:
bool(true)
bool(true)
bool(true)
如果在一個網(wǎng)站�,使用240610708作為密碼,然后用QNKCDZO登陸�,結(jié)果可以登錄的話,說明密碼是以MD5方式保存的�����。類似的��,如果用aaroZmOk作為密碼,然后用aaK1STfY登陸��,結(jié)果可以登錄的話�,說明密碼是以sha1方式保存的。第三種當然就是明文存儲了����。
分析
以第一組數(shù)為例:
md5("240610708") 的結(jié)果是:0e462097431906509019562988736854
md5("QNKCDZO") 的結(jié)果是:0e830400451993494058024219903391
由于 PHP 是弱類型語言,在使用 == 號時��,如果比較一個數(shù)字和字符串或者比較涉及到數(shù)字內(nèi)容的字符串����,則字符串會被轉(zhuǎn)換為數(shù)值并且比較按照數(shù)值來進行�����。此規(guī)則也適用于 switch 語句���。上述例子中的兩個字符串恰好以 0e 的科學記數(shù)法開頭����,字符串被隱式轉(zhuǎn)換為浮點數(shù)��,實際上也就等效于 0×10^0 ,因此比較起來是相等的���。
類似
第一個返回的是 true���,第二個返回的是 false
結(jié)論
PHP中的Hash校驗,應該使用“===”�,而不應該使用“==”。另外如果生產(chǎn)環(huán)境版本足夠高的話(PHP >= 5.6.0)����,最好使用 hash_equals() 函數(shù)。
hash_equals() 在比較兩個字符串�����,無論它們是否相等��,函數(shù)的時間消耗是恒定的�,可以用來防止時序攻擊。
文章版權(quán)歸作者所有��,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/30246.html
