今天我們主要學習的是 PHP 中一些 Hash 散列加密相關的擴展函式的使用，而不是 Hash 演算法，這種加密其實也只是一種更復雜一些的密鑰演算法，與 Hash 演算法類似的是，我們輸入的一串字串，就像一個 Hash 表一樣有其對應的 Hash 散列值，本質上和普通的資料結構中的 Hash 鍵值映射是一個道理，只是其演算法更復雜一些，其實只要做過一段時間的 PHP 開發，一定會對兩個函式很熟悉，它們就是 md5() 和 sha1() ，這兩個函式就是分別生成 md5 和 sha1 演算法的 Hash 加密，不過，今天我們學習的相比這兩個函式更加的復雜一些，演算法形式也更豐富一些，

什么是 Hash 資訊摘要演算法

通常，我們將一段內容輸入一個 Hash 函式后，回傳的一串散列字串就是這個輸入值的 Hash 資訊摘要，在 PHP 中，不管是 md5 還是 sha1 ，同樣的輸入會產生同樣的結果，由此，如果在保存用戶密碼類的資訊時，我們盡量不要只使用一層 Hash ，因為這種形式的加密是可以通過彩虹表暴力破解出來的，我們可以對密碼進行多層 Hash 并加鹽來實作散列值的復雜化，

當然，Hash 演算法并不止我們常用的 md5 和 sha1 ，還有很多其它型別的演算法，只是我們并不常用，但是，今天介紹的函式正是可以進行多種不同型別的 Hash 加密的一組函式，它們已經在 PHP 中集成到了默認環境中，我們并不需要單獨的擴展就可以使用，這樣，就為我們的加密資料多樣化帶來了更多的方便，

PHP 支持的 Hash 演算法

print_r(hash_algos());
// Array
// (
//     [0] => md2
//     [1] => md4
//     [2] => md5
//     [3] => sha1
//     [4] => sha224
//     [5] => sha256
//     [6] => sha384
//     [7] => sha512/224
//     [8] => sha512/256
//     [9] => sha512
//     [10] => sha3-224
//     [11] => sha3-256
//     [12] => sha3-384
//     [13] => sha3-512
//     [14] => ripemd128
//     [15] => ripemd160
//     [16] => ripemd256
//     [17] => ripemd320
//     [18] => whirlpool
//     [19] => tiger128,3
//     [20] => tiger160,3
//     [21] => tiger192,3
//     [22] => tiger128,4
//     [23] => tiger160,4
//     [24] => tiger192,4
//     [25] => snefru
//     [26] => snefru256
//     [27] => gost
//     [28] => gost-crypto
//     [29] => adler32
//     [30] => crc32
//     [31] => crc32b
//     [32] => fnv132
//     [33] => fnv1a32
//     [34] => fnv164
//     [35] => fnv1a64
//     [36] => joaat
//     [37] => haval128,3
//     [38] => haval160,3
//     [39] => haval192,3
//     [40] => haval224,3
//     [41] => haval256,3
//     [42] => haval128,4
//     [43] => haval160,4
//     [44] => haval192,4
//     [45] => haval224,4
//     [46] => haval256,4
//     [47] => haval128,5
//     [48] => haval160,5
//     [49] => haval192,5
//     [50] => haval224,5
//     [51] => haval256,5
// )

$data = "https://www.cnblogs.com/zyblog-coder/p/我們來測驗一下Hash演算法！"; 

foreach (hash_algos() as $v) { 
    $r = hash($v, $data); 
    echo $v, ':', strlen($r), '::', $r, PHP_EOL; 
}
// md2:32::3d63d5f6ce9f03379fb3ae5e1436bf08
// md4:32::e9dc8afa241bae1bccb7c58d4de8b14d
// md5:32::2801b208ec396a2fc80225466e17acac
// sha1:40::0f029efe9f1115e401b781de77bf1d469ecee6a9
// sha224:56::3faf937348ec54936be13b63feee846d741f8391be0a62b4d5bbb2c8
// sha256:64::8f0bbe9288f6dfd2c6d526a08b1fed61352c894ce0337c4e432d97570ae521e3
// sha384:96::3d7d51e05076b20f07dad295b161854d769808b54b784909901784f2e76db212612ebe6fe56c6d014b20bd97e5434658
// ……

foreach (hash_hmac_algos() as $v) { 
    $r = hash_hmac($v, $data, 'secret'); 
    echo $v, ':', strlen($r), '::', $r, PHP_EOL; 
}
// md2:32::70933e963edd0dcd4666ab9253a55a12
// md4:32::d2eda43ee4fab5afc067fd63ae6390f1
// md5:32::68bf5963e1426a1feff8149da0d0b88d
// sha1:40::504bc44704b48ac75435cdccf81e0f056bac98ba
// sha224:56::8beaf35baedc2cd5725c760ec77d119e3373f14953c74818f1243f69
// sha256:64::23f2e6685fe368dd3ebe36e1d3d672ce8306500366ba0e8a19467c94e13ddace
// sha384:96::740ce7488856737ed57d7b0d1224d053905661ffca083c02c6a9a9230499a4a3d96ff0a951b8d03dbafeeeb5c84a65a6
// ……

通過 hash_algos() 和 hash_hmac_algos() 函式，我們就可以獲取到當前 PHP 環境中所支持的所有 Hash 演算法，我們可以見到熟悉的 md5 和 sha1 ，也能見到 md2 、 sha224 、 ripemd320 、fnv1a64 等這些很少見到的演算法，然后我們通過遍歷這兩個函式回傳的內容，并使用 hash() 和 hash_hmac() 函式來對資料進行 Hash 加密并查看它們的內容就可以發現每種演算法都能夠成功回傳不同的加密資訊摘要，而且有不同的位數，

hmac 相關的函式是 PHP 的 Hash 演算法中的另一種形式，它是一個需要密鑰的演算法，也就是 hash_hmac() 的第三個引數，只有輸入內容相同并且密鑰也相同的內容回傳的結果才會是一樣的，也就是說，這個函式可以用于對稱加密的資訊傳遞驗證 token 來使用，比如兩個系統之間的介面互通如果需要一個固定 token 的，就可以使用這個函式來實作，

與 md5() 、 sha1() 的比較

這個 hash() 函式如此強大，那么它生成的內容和 md5 是一樣的嗎？

// 與 md5 sha1 函式對比

echo hash('md5', '我們來測驗一下Hash演算法！'), PHP_EOL;
echo md5('我們來測驗一下Hash演算法！'), PHP_EOL;
// 2801b208ec396a2fc80225466e17acac
// 2801b208ec396a2fc80225466e17acac

echo hash('sha1', '我們來測驗一下Hash演算法！'), PHP_EOL;
echo sha1('我們來測驗一下Hash演算法！'), PHP_EOL;
// 0f029efe9f1115e401b781de77bf1d469ecee6a9
// 0f029efe9f1115e401b781de77bf1d469ecee6a9

echo hash('fnv164', '我們來測驗一下Hash演算法！'), PHP_EOL;
// b25bd7371f08cea4

這個當然是不用懷疑的，甚至我感覺 md5() 和 sha1() 這兩個函式本身就是 hash() 函式的一個語法糖，因為這兩種演算法實在是太常用了，所以 PHP 就直接為我們封裝好了兩個現在的函式，而且它們就一個引數就行了，非常的簡單方便，

檔案 HASH

在很多下載站，都會提供下載檔案的 Hash 值讓我們進行校驗對比來確定下載的檔案是否完整相同，這種就是檔案 Hash 的應用，其實說白了也是提取檔案內容進行 Hash 散列之后獲得的關于這個檔案的資訊摘要而已，這一套功能當然在我們的 PHP 中也是完美支持的，

/ 檔案 HASH

echo hash_file('md5', './create-phar.php'), PHP_EOL;
echo md5_file('./create-phar.php'), PHP_EOL;
// ba7833e3f6375c1101fb4f1d130cf3d3
// ba7833e3f6375c1101fb4f1d130cf3d3

echo hash_hmac_file('md5', './create-phar.php', 'secret'), PHP_EOL;
// 05d1f8eb7683e190340c04fc43eba9db

hkdf 與 pbkdf2 的 HASH 演算法

接下來介紹的這兩種演算法又是特殊的兩種 Hash 演算法，和 hmac 類似，但比 hmac 又更復雜一些，

// hkdf pbkdf2 演算法

//              演算法       明文密碼（原始二進制）     輸出長度  應用程式/特定于背景關系的資訊字串    salt值
$hkdf1 = hash_hkdf('sha256', '123456', 32, 'aes-256-encryption', random_bytes(2));
$hkdf2 = hash_hkdf('sha256', '123456', 32, 'sha-256-authentication', random_bytes(2));
var_dump($hkdf1);
var_dump($hkdf2);
// string(32) "?`q??X?l?
//                      f?ye????}Ozb+?"
// string(32) "%???]?+??\JdG??HL??GK??
//                                   -"

//              演算法       明文密碼     salt值        迭代次數  資料長度
echo hash_pbkdf2("sha256", '123456', random_bytes(2), 1000, 20), PHP_EOL;
// e27156f9a6e2c55f3b72

hmac 只需要一個密鑰就可以了，hash_hkdf() 則是增加了回傳長度、應用程式/特定于背景關系的資訊字串、以及鹽值三個引數，而且加密后的內容是二進制的加密內容，是不是感覺很高大上！而 hash_pbkdf2() 則是增加了鹽值、迭代次數和資料長度三個引數，也是一個能用于密碼加密的好幫手，但是相對來說，它們的使用要更復雜一些，如果是對安全性要求非常高的密碼就可以使用這兩種函式，

hash_equals() 函式進行 Hash 對比

PHP 中還為我們提供了一個對比 Hash 值是否相等的函式，有的小伙伴要問了，既然回傳的是字串形式的摘要資訊，直接 === 不就可以了嘛，為啥還要一個專門的函式來比較呢？別急，我們先看下代碼，

// hash_equals 比較函式

$v1 = hash('md5', '測驗對比');
$v2 = hash('md5', '測驗對比');
$v3 = hash('md5', '測驗對比1');

// 比較兩個字串，無論它們是否相等，本函式的時間消耗是恒定的
// 本函式可以用在需要防止時序攻擊的字串比較場景中， 例如，可以用在比較 crypt() 密碼哈希值的場景
var_dump(hash_equals($v1, $v2));
var_dump(hash_equals($v1, $v3));
// bool(true)
// bool(false)

我在注釋中已經寫得很清楚了，hash_equals() 函式主要是可以防止時序攻擊，一般來說，這個時序攻擊就是根據你的系統運行時間長短來判斷你的系統中使用了什么函式或者功能，這都是非常厲害的黑客高手玩的東西，比如說，我們比較用戶密碼的時候，假設是一位一位的進行比較，那么如果第一個字符錯了資訊很快就會回傳，而如果比較到最后一個才錯的時候，程式運行時間就會長很多，黑客就可以根據這個時長來判斷當前暴力破解的內容是否一步步達到目標，也讓破解難度逐步下降，(普通的字串比較 === 就是基于位移的)，而 hash_equals() 則是不管怎么比較，相同的 Hash 演算法長度的內容回傳的時間都是相同的，OpenSSL 、 OpenSSH 等軟體都曾出現過這種類似的時序攻擊漏洞！

當然，這個我們只做了解即可，同樣也是對于安全性有特殊要求的一些專案，就可以使用這個函式來避免出現這種時序攻擊的漏洞提高系統安全性，

增量 Hash 操作

最后我們要學習的是一套增量 Hash 的操作函式，其實對于字串來說，大部分情況下我們直接將字串拼接好再 Hash 就可以了，并不太需要增量 Hash 的能力，但是如果是對于多個檔案或者讀寫流來說，想要獲得多檔案的 Hash 值，就可以使用這一套增量 Hash 函式來進行操作了，

// 增量 HASH

$fp = tmpfile();
fwrite($fp, '初始化一個流檔案');
rewind($fp);

$h1 = hash_init('md5'); // 開始增量 Hash
hash_update($h1, '測驗增量'); // 普通字串
hash_update_file($h1, './create-phar.php'); // 檔案
hash_update_stream($h1, $fp); // 流
$v1 = hash_final($h1); // 結束 Hash 回傳結果
echo $v1, PHP_EOL;
// 373df6cc50a1d7cd53608208e91be1e7

$h2 = hash_init('md5', HASH_HMAC, 'secret'); // 使用 HMAC 演算法的增量 HASH
hash_update($h2, '測驗增量');
hash_update_file($h2, './create-phar.php');
hash_update_stream($h2, $fp);
$v2 = hash_final($h2);
echo $v2, PHP_EOL;
// 34857ee5d8b573f6ee9ee20723470ea4

我們使用 hash_init() 來獲得一個增量 Hash 操作句柄并指定好加密演算法，然后使用 hash_update() 添加字串、使用 hash_update_file() 增加檔案內容，使用 hash_update_stream() 來增加流內容，最后使用 hash_final() 結束句柄操作進行 Hash 計算并回傳結果值，得到的結果值就是包含字串、檔案和流內容一起 Hash 的結果，

總結

說實話，在沒有學習今天的內容之前，我也一直以為 PHP 里面只有 md5 和 sha1 這兩種 Hash 演算法呢，這回真是大開了眼界，我們不僅擁有豐富的演算法庫，而且還有很多方便的操作函式能夠幫助我們方便的使用這些演算法，不多說了，學習繼續！

測驗代碼：

https://github.com/zhangyue0503/dev-blog/blob/master/php/202007/source/PHP%E7%9A%84Hash%E4%BF%A1%E6%81%AF%E6%91%98%E8%A6%81%E6%89%A9%E5%B1%95%E6%A1%86%E6%9E%B6.php

參考檔案：

https://www.php.net/manual/zh/book.hash.php

https://www.zhihu.com/question/20156213

https://baike.baidu.com/item/%E6%97%B6%E5%BA%8F%E6%94%BB%E5%87%BB/17882818?fr=aladdin

關注公眾號：【硬核專案經理】獲取最新文章

添加微信/QQ好友：【xiaoyuezigonggong/149844827】免費得PHP、專案管理學習資料

知乎、公眾號、抖音、頭條搜索【硬核專案經理】

B站ID：482780532

標籤：PHP

上一篇：PHP的加密偽亂數生成器的使用

下一篇：PHP的Mcrypt加密擴展知識了解