博客
关于我
强烈建议你试试无所不能的chatGPT,快点击我
hash_equals()函数
阅读量:6179 次
发布时间:2019-06-21

本文共 1001 字,大约阅读时间需要 3 分钟。

本文同时发表在

了解下hash_equals的概念:

bool hash_equals ( string $known_string , string $user_string )比较两个字符串,无论它们是否相等,本函数的时间消耗是恒定的。本函数可以用在需要防止时序攻击的字符串比较场景中, 例如,可以用在比较 crypt() 密码哈希值的场景。

上面提到了时序攻击,什么是时序攻击呢?引自中shotgun的回答:

举一个最简单的计时攻击的例子,某个函数负责比较用户输入的密码和存放在系统内密码是否相同,如果该函数是从第一位开始比较,发现不同就立即返回,那么通过计算返回的速度就知道了大概是哪一位开始不同的,这样就实现了电影中经常出现的按位破解密码的场景。密码破解复杂度成千上万倍甚至百万千万倍的下降。

而hash_equals的时间消耗是恒定的,也就防止了时序攻击。

PHP 中的 == 和“隐式转换”

为什么会是true?

md5('240610708') 的结果是:0e462097431906509019562988736854
md5('QNKCDZO') 的结果是:0e830400451993494058024219903391

在PHP中, 在使用 == 号时,如果比较一个数字和字符串或者比较涉及到数字内容的字符串,则字符串会被转换为数值并且比较按照数值来进行。

php会将以0x开头的或者0e开头的并且后面都是数字的(^0e\d*\(,^0x\d*\))当成数字来处理。上面两个例子都被等效成了 0×10^0 ,所以相等。

类似的还有

var_dump('0x1234Ab' == '1193131');   //true

为了防止此现象,需要使用===或者hash_equals函数来处理。

误解
var_dump(0 == "0e1111111");    //truevar_dump("0" == "0e1111111");   //true

之前一直认为输出结果是true false。但是实验发现两个都是true。原来php在将字符串转换成整数的条件不光是字符串和整数比较。还有当两个数字型字符串比较时,也会将两个字符串都转换成整数。

引用网上一张图:

image
image
image

转载于:https://www.cnblogs.com/zhangyachen/p/8033358.html

你可能感兴趣的文章
Raid磁盘阵列真的是100%的安全吗?raid有哪些常见的故障?
查看>>
Raid5两块硬盘离线解决方案 -阵列数据恢复案例
查看>>
IBM AIX存储层结构介绍 / 常用命令整理
查看>>
sudo用法简记
查看>>
有关宏定义的一篇文章
查看>>
Kubernetes 基本概念
查看>>
Linux命令:ssh,scp使用及免密码登录
查看>>
我的友情链接
查看>>
在CentOS上编译安装Nginx+实验环境搭建+测试
查看>>
支持二次开发的Zigbee模块(SNAP技术)
查看>>
我的友情链接
查看>>
软件测试常用术语
查看>>
linux磁盘与文件系统管理
查看>>
ORACLE 索引详解
查看>>
第五课_课后习题解答
查看>>
Linux日志系统分析
查看>>
Linux下双网卡绑定bond0
查看>>
你是否也在服务器租用的过程中对服务器各方面的问题产生疑问呢????
查看>>
SSH2屌丝增强版1:构建GenericDao
查看>>
nfs服务配置
查看>>