PHP內置或MySQL用戶定義函數密碼

Question

通過看到this comment和評論here，在我腦海中提出的一個問題，那爲什麼我們不使用我們自己的PHP函數來保護密碼在MySQL？我們應該使用PHP內置函數。像password_hash() & password_verify()。

如果我自己做我該怎麼辦PHP函數？

例如：

爲HI HOW ARE YOU?安全代碼應該zq1zag1ewn1:a>!

我在函數中使用array。

的代碼是這樣：

$txt = "HI HOW ARE YOU?"; 
$trans = array(" " => "1", "H" => "z", "C" => "f", "I" => "q", "O" => "a", "W" => "g", "A" => "e", "R" => "w", "E" => "n", "Y" => ":", "U" => ">", "?" => "!"); 
    $change = strtr($txt, $trans); 
    echo $change; 

我能否獲得使用PHP in-built function，而不是我的函數的原因是什麼？

Answer 1

我可以得到使用PHP內置函數而不是我的函數的原因嗎？

你的做法是可怕的不安全，而且會一直在通過甚至用手工作二戰時期的密碼破譯專家破 - 可能使用類似frequency analysis。地獄，the ancient Romans ^{_{(possibly even earlier, but they're the earliest documented)}} invented your fundamental technique。

這就是爲什麼你不要roll your own crypto。你可能會搞砸了。你剛纔已經證明，寫一些看起來很安全的東西是多麼容易，但是可能會被任何現代計算機以毫秒爲單位打破。

如果你不是一個專家團隊的密碼專家，你的解決方案可能不是幾十年歷史，經過測試，同行評審的解決方案，從實際隊專家的密碼專家的一樣好。

參見：

• Why passwords should be hashed
• Why shouldn't we roll our own?
• How to securely hash passwords