有人可以澄清 PHP 函数 crypt() 的工作原理吗？

Question

根据我的理解 crypt(string, salt)，取盐，将其粘贴到字符串参数的加密版本的前面。

$pw = "secret";
$format_and_salt = $2y$10$MWRmZTkwMTc5ZGJjZDI1NT;
$hash = crypt($pw, $format_and_salt);

$hash 以$2y$10$MWRmZTkwMTc5ZGJjZDI1NOfGsQUgIu7ezETpe.uHjGqbmdrw2.vqm 的形式存储到数据库列hashed_password

或分解：

第一部分是 $format_and_salt：$2y$10$MWRmZTkwMTc5ZGJjZDI1N (sans the 'T')

+

第二部分是加密的$pw：OfGsQUgIu7ezETpe.uHjGqbmdrw2.vqm

如果我随后再次使用 crypt 来验证用户提交给 $_POST 的密码是否与数据库中存储的 hashed_pa​​ssword 相比，这两种情况的输出似乎都没有反映我上面描述的逻辑。所以我错过了一些东西。

那么：

$existing_hash = $admin['hashed_password']（$admin 是一个最终派生自查询的数组）。

和

crypt($pw, $existing_hash) 返回$2y$10$MWRmZTkwMTc5ZGJjZDI1NOfGsQUgIu7ezETpe.uHjGqbmdrw2.vqm

与上面的$hash 相同。这可以验证或使用户提交到 $_POST 无效，但如前所述，如果我遵循上面第一个 crypt() 的逻辑，我希望：

第一部分是$existing_hash：$2y$10$MWRmZTkwMTc5ZGJjZDI1NOfGsQUgIu7ezETpe.uHjGqbmdrw2.vqm

+

第二部分是加密的$pw：OfGsQUgIu7ezETpe.uHjGqbmdrw2.vqm

我希望将其组合为： $2y$10$MWRmZTkwMTc5ZGJjZDI1NOfGsQUgIu7ezETpe.uHjGqbmdrw2.vqmOfGsQUgIu7ezETpe.uHjGqbmdrw2.vqm

有人能解释一下为什么原来的地穴和上面用来验证第一个地穴的地穴都有相同的输出吗？提前致谢。

Answer 1

您正在使用 Blowfish 加密 - 仅使用 salt 的前 22 个字符。这是使用河豚的好处之一。

来自PHP manual：

使用盐的 Blowfish 散列如下：“$2a$”、“$2x$”或“$2y$”、两位数的成本参数、“$”和字母表中的 22 个字符“./0- 9A-Za-z”。

这意味着来自 $existing_hash 的盐最终是 $2y$10$MWRmZTkwMTc5ZGJjZDI1N - 与之前完全相同。