crypt

(PHP 4, PHP 5, PHP 7, PHP 8)

cryptEinweg-String-Hashing

Warnung

Diese Funktion ist (bis jetzt) nicht binärsicher!

Beschreibung

crypt(string $string, string $salt): string

crypt() gibt einen Hash-String zurück, der unter Verwendung des DES-basierten Unix-Standard-Hashingalgorithmus oder eines anderen Algorithmus erstellt wurde. password_verify() ist kompatibel zu crypt(). Daher können Passwort-Hashes, die mit crypt() erzeugt wurden, mit password_verify() verwendet werden.

Vor PHP 8.0.0 war der Parameter salt optional. Allerdings erzeugt crypt() ohne das salt einen schwachen Hash und einen E_NOTICE-Fehler. Es ist darauf zu achten, ein ausreichend starkes Salt für bessere Sicherheit anzugeben.

password_hash() verwendet einen starken Hash, erzeugt ein starkes Salt und wendet automatisch eine angemessene Anzahl von Runden an. password_hash() ist ein einfacher crypt()-Wrapper und kompatibel zu bestehenden Passwort-Hashes. Die Verwendung von password_hash() wird empfohlen.

Der verwendete Algorithmus wird durch das Salt-Argument bestimmt. Wird kein Salt angegeben, erzeugt PHP entweder einen 12-Zeichen-MD5-Salt oder, falls MD5 nicht verfügbar ist, einen 2-Zeichen-DES-Salt. PHP setzt eine Konstante CRYPT_SALT_LENGTH, welche die Länge des längsten von den Algorithmen unterstützten Salts enthält.

Der Standard-DES-Algorithmus gibt den Salt als erste 2 Zeichen zurück. Weiterhin werden nur die ersten acht Zeichen von string genutzt. Wenn also eine längere Zeichenkette verwendet wird, die mit denselben 8 Buchstaben beginnt, so erhalten Sie denselben Rückgabewert (sofern Sie ebenfalls den gleichen Salt genutzt haben).

Die folgenden Hash-Typen werden unterstützt.

  • CRYPT_STD_DES - Standard DES-Hash mit einem 2-Zeichen-Salt aus dem Alphabet "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
  • CRYPT_EXT_DES - Erweitertes DES-basiertes Hashing mit einem 9-Zeichen-Salt, bestehend aus einem Unterstrich, gefolgt von 4 Zeichen Iterationsanzahl und 4 Zeichen Salt. Jede dieser vierstelligen Zeichenketten kodiert 24 Bits, das Zeichen mit dem niedrigsten Wert zuerst. Die Werte 0 bis 63 werden als ./0-9A-Za-z kodiert. Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
  • CRYPT_MD5 - MD5-Hashing mit 12-Zeichen-Salt, beginnend mit "$1$"
  • CRYPT_BLOWFISH - Blowfish-Hash mit einem Salt folgenden Aufbaus: "$2a$", "$2x$" oder "$2y$", gefolgt von einem zweistelligen Kostenparameter, einem weiteren "$" und 22 Zeichen des Alphabets "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens gibt crypt() eine leere Zeichenkette zurück. Der zweistellige Kostenparameter ist der binäre Logarithmus der Iterationsanzahl für den zugrundeliegenden Blowfish-basierten Hash-Algorithmus und muss im Bereich von 04-31 liegen. Bei Nutzung von Werten außerhalb dieses Bereichs schlägt crypt() fehl. "$2x$"-Hashes sind potenziell schwach; "$2a$"-Hashes sind kompatibel und entschärfen diese Schwäche. Für neue Hashes sollte "$2y$" verwendet werden.
  • CRYPT_SHA256 - SHA-256-Hash mit einem 16-Zeichen-Salt, beginnend mit "$5$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.
  • CRYPT_SHA512 - SHA-512-Hash mit einem 16-Zeichen-Salt, beginnend mit "$6$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.

Parameter-Liste

string

Die zu hashende Zeichenkette.

Achtung

Die Verwendung des CRYPT_BLOWFISH-Algorithmus hat zur Folge, dass der Parameter string auf eine Länge von maximal 72 Bytes gekürzt wird.

salt

Ein Salt-String, der die Schlüsselbasis bildet. Falls dieser nicht angegeben wird, hängt das Verhalten von der Implementierung des Algorithmus ab und kann daher zu unerwarteten Ergebnissen führen. (Wenn beispielsweise ein Server MD5 unterstützt und der andere nur DES, dann würden beide unterschiedliche Rückgabewerte produzieren, obwohl die Zeichenkette eigentlich gleich ist.)

Rückgabewerte

Gibt die gehashte Zeichenkette zurück oder im Fehlerfall eine Zeichenkette, die kürzer ist als 13 Zeichen und sich garantiert vom Salt unterscheidet.

Warnung

Wenn Passwörter überprüft werden, sollte eine Zeichenkettenvergleichsfunktion verwendet werden, die nicht anfällig für Rechenzeitangriffe ist, um die Ausgabe von crypt() mit dem zuvor bekannten Hash zu vergleichen. PHP stellt zu diesem Zweck hash_equals() zur Verfügung.

Changelog

Version Beschreibung
8.0.0 salt ist nicht mehr optional.

Beispiele

Beispiel #1 crypt()-Beispiele

<?php
// Den Salt automatisch generieren lassen; nicht empfohlen
$gehashtes_passwort crypt('mein_Pwd');

/* Sie sollten das vollständige Ergebnis von crypt() als Salt zum
   Passwort-Vergleich übergeben, um Problemen mit unterschiedlichen
   Hash-Algorithmen vorzubeugen. (Wie bereits ausgeführt, verwendet
   ein Standard-DES-Passwort-Hash einen 2-Zeichen-Salt, ein
   MD5-basierter hingegen nutzt 12 Zeichen. */
if (crypt($benutzer_eingabe$gehashtes_passwort) == $gehashtes_passwort) {
   echo "Passwort stimmt überein!";
}
?>

Beispiel #2 Verwendung von crypt() für htpasswd

<?php
// Passwort setzen
$passwort 'mein_Pwd';

// Hash mit automatisch erstelltem Salt generieren lassen; nicht empfohlen
$hash crypt($passwort);
?>

Beispiel #3 Verwendung von crypt() mit verschiedenen Hash-Arten

<?php
/* Die im folgenden Code genutzen Salts sind nur Beispiele und sollten nicht
   in dieser Form verwendet werden. Stattdessen muss für jedes Password ein
   neuer, korrekt formatierter Salt generiert werden.
*/
echo 'Standard DES: ',
    crypt('rasmuslerdorf''rl'),
    "\n";
echo 'Extended DES: ',
    crypt('rasmuslerdorf''_J9..rasm'),
    "\n";
echo 'MD5:          ',
    crypt('rasmuslerdorf''$1$rasmusle$'),
    "\n";
echo 'Blowfish:     ',
    crypt('rasmuslerdorf''$2a$07$usesomesillystringforsalt$'),
    "\n";
echo 'SHA-256:      ',
    crypt('rasmuslerdorf''$5$rounds=5000$usesomesillystringforsalt$'),
    "\n";
echo 'SHA-512:      ',
    crypt('rasmuslerdorf''$6$rounds=5000$usesomesillystringforsalt$'),
    "\n";
?>

Das oben gezeigte Beispiel erzeugt eine ähnliche Ausgabe wie:

Standard DES: rl.3StKT.4T8M
Extended DES: _J9..rasmBYk8r9AiWNc
MD5:          $1$rasmusle$rISCgZzpwk3UhDidwXvin0
Blowfish:     $2y$07$usesomesillystringfore2uDLvp1Ii2e./U9C8sBjqp8I90dH6hi
SHA-256:      $5$rounds=5000$usesomesillystri$KqJWpanXZHKq2BOB43TSaYhEWsQ1Lr5QNyPCDH/Tp.6
SHA-512:      $6$rounds=5000$usesomesillystri$D4IrlXatmP7rx3P3InaxBeoomnAihCKRVQP22JZ6EY47Wc6BkroIuUUBOov1i.S5KPgErtP/EN5mcO.ChWQW21

Anmerkungen

Hinweis: Es existiert keine decrypt-Funktion, da crypt() ein Einweg-Algorithmus ist.

Siehe auch

  • hash_equals() - Timing attack safe string comparison
  • password_hash() - Erstellt einen Passwort-Hash
  • md5() - Errechnet den MD5-Hash eines Strings
  • Lesen Sie die Manpages ihres Unix-Systems, wenn Sie weitere Informationen zu crypt benötigen.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe
Es sind noch keine Kommentare vorhanden.
PHP
Grundlagen von Views in MySQL

Grundlagen von Views in MySQL

Views in einer MySQL-Datenbank bieten die Möglichkeit, eine virtuelle Tabelle basierend auf dem Ergebnis einer SQL-Abfrage zu erstellen. ...

admin

Autor : admin
Kategorie: mySQL-Tutorials

Definition von Stored Procedures - eine Einführung

Definition von Stored Procedures - eine Einführung

Stored Procedures sind vordefinierte SQL-Codeblöcke, die in einer Datenbank gespeichert sind und bei Bedarf aufgerufen werden können. ...

Bernie

Autor : ebiz-consult GmbH & Co. KG
Kategorie: mySQL-Tutorials

Wie kann man komplexe Abfragen mit SQL-Querys In MySQLi effektiv durchführen?

Wie kann man komplexe Abfragen mit SQL-Querys In MySQLi effektiv durchführen?

In diesem MySQL-Tutorial wird erklärt, wie komplexe SQL-Abfragen in MySQLi effizient durchgeführt werden können. Wir werden uns mit verschiedenen Aspekten der Datenbankabfrage beschäftigen und spezifische Methoden kennenlernen. ...

TheMax

Autor : TheMax
Kategorie: mySQL-Tutorials

Tutorial veröffentlichen

Tutorial veröffentlichen

Teile Dein Wissen mit anderen Entwicklern weltweit

Du bist Profi in deinem Bereich und möchtest dein Wissen teilen, dann melde dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Tutorial veröffentlichen

[Wichtig] Anmeldung im Forum

Guess the hidden word using logic and deduction in the engaging game of Wordle. Wordle nyt (https://wordlenytimes.net/) ​

Geschrieben von lenytimes am 19.04.2024 19:21:45
Forum: Fragen/Vorschläge zum Forum
Professioneller Webentwickler & Webdesigner

Of course, here is the translation: Hello, Thank you for your interest in the long-term project. Your extensive skills and experience in web dev ...

Geschrieben von Athelstan am 15.04.2024 09:25:39
Forum: Jobgesuche
Wir stellen unsere SEO-Agentur vor

Hallo In der heutigen digitalen Welt war es für Unternehmen noch nie so einfach, ihre Reichweite weltweit zu vergrößern. Wenn Sie außerhalb I ...

Geschrieben von thomasmuller am 14.04.2024 07:18:33
Forum: User stellen sich vor
Spielplan für 4 Gruppen zu je 6 Teams auf 2 Feldern

Hallöchen zusammen, ich versuche derzeit unseren Excel-Spielplan in PHP zu überführen. Eigentlich bin ich auch shon fertig - wenn da nicht dies ...

Geschrieben von derH0st am 11.04.2024 15:58:37
Forum: PHP Developer Forum