長(zhǎng)話短說(shuō),我有一些密碼在 PHP 版本中被不正確地加鹽和散列,如果加鹽無(wú)效,允許 crypt() 函數(shù)回退到 CRYPT_STD_DES 算法。然而在 PHP 5.3.2+ 中:5.3.2 修正了 Blowfish 在無(wú)效回合上返回“失敗”字符串(“*0”或“*1”)而不是回退到 DES 的行為。造成這個(gè)問(wèn)題的原因是鹽中包含“$”字符,因?yàn)樗緛?lái)是一種河豚鹽(但在不知不覺(jué)中變形了)。因此,我無(wú)法手動(dòng)執(zhí)行以下操作: crypt($pass, "$a"); 因?yàn)槟乾F(xiàn)在也不是有效的 CRYPT_STD_DES 鹽。鹽必須在“./0-9A-Za-z”范圍內(nèi)。它只是按照 PHP 開(kāi)發(fā)人員的預(yù)期返回“*0”。如何在較新版本的 PHP(理想情況下至少為 7.1)中驗(yàn)證這些格式錯(cuò)誤的密碼?
升級(jí)使用無(wú)效 CRYPT_STD_DES 鹽生成的 PHP (<5.3.2) 密碼
動(dòng)漫人物
2023-03-11 16:30:19
