crypt

(PHP 4, PHP 5, PHP 7, PHP 8)

cryptEinweg-String-Hashing

Warnung

Diese Funktion ist (bis jetzt) nicht binärsicher!

Beschreibung

crypt(string $string, string $salt): string

crypt() gibt einen Hash-String zurück, der unter Verwendung des DES-basierten Unix-Standard-Hashingalgorithmus oder eines anderen Algorithmus erstellt wurde. password_verify() ist kompatibel zu crypt(). Daher können Passwort-Hashes, die mit crypt() erzeugt wurden, mit password_verify() verwendet werden.

Vor PHP 8.0.0 war der Parameter salt optional. Allerdings erzeugt crypt() ohne das salt einen schwachen Hash und einen E_NOTICE-Fehler. Es ist darauf zu achten, ein ausreichend starkes Salt für bessere Sicherheit anzugeben.

password_hash() verwendet einen starken Hash, erzeugt ein starkes Salt und wendet automatisch eine angemessene Anzahl von Runden an. password_hash() ist ein einfacher crypt()-Wrapper und kompatibel zu bestehenden Passwort-Hashes. Die Verwendung von password_hash() wird empfohlen.

Der verwendete Algorithmus wird durch das Salt-Argument bestimmt. Wird kein Salt angegeben, erzeugt PHP entweder einen 12-Zeichen-MD5-Salt oder, falls MD5 nicht verfügbar ist, einen 2-Zeichen-DES-Salt. PHP setzt eine Konstante CRYPT_SALT_LENGTH, welche die Länge des längsten von den Algorithmen unterstützten Salts enthält.

Der Standard-DES-Algorithmus gibt den Salt als erste 2 Zeichen zurück. Weiterhin werden nur die ersten acht Zeichen von string genutzt. Wenn also eine längere Zeichenkette verwendet wird, die mit denselben 8 Buchstaben beginnt, so erhalten Sie denselben Rückgabewert (sofern Sie ebenfalls den gleichen Salt genutzt haben).

Die folgenden Hash-Typen werden unterstützt.

  • CRYPT_STD_DES - Standard DES-Hash mit einem 2-Zeichen-Salt aus dem Alphabet "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
  • CRYPT_EXT_DES - Erweitertes DES-basiertes Hashing mit einem 9-Zeichen-Salt, bestehend aus einem Unterstrich, gefolgt von 4 Zeichen Iterationsanzahl und 4 Zeichen Salt. Jede dieser vierstelligen Zeichenketten kodiert 24 Bits, das Zeichen mit dem niedrigsten Wert zuerst. Die Werte 0 bis 63 werden als ./0-9A-Za-z kodiert. Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
  • CRYPT_MD5 - MD5-Hashing mit 12-Zeichen-Salt, beginnend mit "$1$"
  • CRYPT_BLOWFISH - Blowfish-Hash mit einem Salt folgenden Aufbaus: "$2a$", "$2x$" oder "$2y$", gefolgt von einem zweistelligen Kostenparameter, einem weiteren "$" und 22 Zeichen des Alphabets "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens gibt crypt() eine leere Zeichenkette zurück. Der zweistellige Kostenparameter ist der binäre Logarithmus der Iterationsanzahl für den zugrundeliegenden Blowfish-basierten Hash-Algorithmus und muss im Bereich von 04-31 liegen. Bei Nutzung von Werten außerhalb dieses Bereichs schlägt crypt() fehl. "$2x$"-Hashes sind potenziell schwach; "$2a$"-Hashes sind kompatibel und entschärfen diese Schwäche. Für neue Hashes sollte "$2y$" verwendet werden.
  • CRYPT_SHA256 - SHA-256-Hash mit einem 16-Zeichen-Salt, beginnend mit "$5$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.
  • CRYPT_SHA512 - SHA-512-Hash mit einem 16-Zeichen-Salt, beginnend mit "$6$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.

Parameter-Liste

string

Die zu hashende Zeichenkette.

Achtung

Die Verwendung des CRYPT_BLOWFISH-Algorithmus hat zur Folge, dass der Parameter string auf eine Länge von maximal 72 Bytes gekürzt wird.

salt

Ein Salt-String, der die Schlüsselbasis bildet. Falls dieser nicht angegeben wird, hängt das Verhalten von der Implementierung des Algorithmus ab und kann daher zu unerwarteten Ergebnissen führen. (Wenn beispielsweise ein Server MD5 unterstützt und der andere nur DES, dann würden beide unterschiedliche Rückgabewerte produzieren, obwohl die Zeichenkette eigentlich gleich ist.)

Rückgabewerte

Gibt die gehashte Zeichenkette zurück oder im Fehlerfall eine Zeichenkette, die kürzer ist als 13 Zeichen und sich garantiert vom Salt unterscheidet.

Warnung

Wenn Passwörter überprüft werden, sollte eine Zeichenkettenvergleichsfunktion verwendet werden, die nicht anfällig für Rechenzeitangriffe ist, um die Ausgabe von crypt() mit dem zuvor bekannten Hash zu vergleichen. PHP stellt zu diesem Zweck hash_equals() zur Verfügung.

Changelog

Version Beschreibung
8.0.0 salt ist nicht mehr optional.

Beispiele

Beispiel #1 crypt()-Beispiele

<?php
// Den Salt automatisch generieren lassen; nicht empfohlen
$gehashtes_passwort crypt('mein_Pwd');

/* Sie sollten das vollständige Ergebnis von crypt() als Salt zum
   Passwort-Vergleich übergeben, um Problemen mit unterschiedlichen
   Hash-Algorithmen vorzubeugen. (Wie bereits ausgeführt, verwendet
   ein Standard-DES-Passwort-Hash einen 2-Zeichen-Salt, ein
   MD5-basierter hingegen nutzt 12 Zeichen. */
if (crypt($benutzer_eingabe$gehashtes_passwort) == $gehashtes_passwort) {
   echo "Passwort stimmt überein!";
}
?>

Beispiel #2 Verwendung von crypt() für htpasswd

<?php
// Passwort setzen
$passwort 'mein_Pwd';

// Hash mit automatisch erstelltem Salt generieren lassen; nicht empfohlen
$hash crypt($passwort);
?>

Beispiel #3 Verwendung von crypt() mit verschiedenen Hash-Arten

<?php
/* Die im folgenden Code genutzen Salts sind nur Beispiele und sollten nicht
   in dieser Form verwendet werden. Stattdessen muss für jedes Password ein
   neuer, korrekt formatierter Salt generiert werden.
*/
echo 'Standard DES: ',
    crypt('rasmuslerdorf''rl'),
    "\n";
echo 'Extended DES: ',
    crypt('rasmuslerdorf''_J9..rasm'),
    "\n";
echo 'MD5:          ',
    crypt('rasmuslerdorf''$1$rasmusle$'),
    "\n";
echo 'Blowfish:     ',
    crypt('rasmuslerdorf''$2a$07$usesomesillystringforsalt$'),
    "\n";
echo 'SHA-256:      ',
    crypt('rasmuslerdorf''$5$rounds=5000$usesomesillystringforsalt$'),
    "\n";
echo 'SHA-512:      ',
    crypt('rasmuslerdorf''$6$rounds=5000$usesomesillystringforsalt$'),
    "\n";
?>

Das oben gezeigte Beispiel erzeugt eine ähnliche Ausgabe wie:

Standard DES: rl.3StKT.4T8M
Extended DES: _J9..rasmBYk8r9AiWNc
MD5:          $1$rasmusle$rISCgZzpwk3UhDidwXvin0
Blowfish:     $2y$07$usesomesillystringfore2uDLvp1Ii2e./U9C8sBjqp8I90dH6hi
SHA-256:      $5$rounds=5000$usesomesillystri$KqJWpanXZHKq2BOB43TSaYhEWsQ1Lr5QNyPCDH/Tp.6
SHA-512:      $6$rounds=5000$usesomesillystri$D4IrlXatmP7rx3P3InaxBeoomnAihCKRVQP22JZ6EY47Wc6BkroIuUUBOov1i.S5KPgErtP/EN5mcO.ChWQW21

Anmerkungen

Hinweis: Es existiert keine decrypt-Funktion, da crypt() ein Einweg-Algorithmus ist.

Siehe auch

  • hash_equals() - Timing attack safe string comparison
  • password_hash() - Erstellt einen Passwort-Hash
  • md5() - Errechnet den MD5-Hash eines Strings
  • Lesen Sie die Manpages ihres Unix-Systems, wenn Sie weitere Informationen zu crypt benötigen.

Hier Kannst Du einen Kommentar verfassen


Bitte gib mindestens 10 Zeichen ein.
Wird geladen... Bitte warte.
* Pflichtangabe
Es sind noch keine Kommentare vorhanden.
PHP

PHP cURL-Tutorial: Verwendung von cURL zum Durchführen von HTTP-Anfragen

cURL ist eine leistungsstarke PHP-Erweiterung, die es Ihnen ermöglicht, mit verschiedenen Servern über verschiedene Protokolle wie HTTP, HTTPS, FTP und mehr zu kommunizieren. ...

TheMax

Autor : TheMax
Kategorie: PHP-Tutorials

Midjourney Tutorial - Anleitung für Anfänger

Midjourney Tutorial - Anleitung für Anfänger

Über Midjourney, dem Tool zur Erstellung digitaler Bilder mithilfe von künstlicher Intelligenz, gibt es ein informatives Video mit dem Titel "Midjourney Tutorial auf Deutsch - Anleitung für Anfänger" ...

Mike94

Autor : Mike94
Kategorie: KI Tutorials

Grundlagen von Views in MySQL

Grundlagen von Views in MySQL

Views in einer MySQL-Datenbank bieten die Möglichkeit, eine virtuelle Tabelle basierend auf dem Ergebnis einer SQL-Abfrage zu erstellen. ...

admin

Autor : admin
Kategorie: mySQL-Tutorials

Tutorial veröffentlichen

Tutorial veröffentlichen

Teile Dein Wissen mit anderen Entwicklern weltweit

Du bist Profi in deinem Bereich und möchtest dein Wissen teilen, dann melde dich jetzt an und teile es mit unserer PHP-Community

mehr erfahren

Tutorial veröffentlichen

Ein data POST via Curl funktioniert nicht.

Anmorg93 Respekt, du bist ja nur um rund 10 Jahre zu spät dran.

Geschrieben von scatello am 21.11.2024 10:57:00
Forum: PHP Developer Forum
Ein data POST via Curl funktioniert nicht.

Hey, hatte auch mal das Problem. Oft liegt’s an fehlenden oder falschen Headern. Probier mal:​ $ch = curl_init(); curl_setopt($ch, CURLOPT_UR ...

Geschrieben von Anmorg93 am 21.11.2024 10:48:17
Forum: PHP Developer Forum
Probleme mit einem Linux-Befehl...

guten Tag liebe Community ;) hallo liebe Freunde auf der php-Ressource, hoffe, das landet im richtigen Unterforum also, womit ich im Moment zu ...

Geschrieben von dhubs am 15.11.2024 16:21:52
Forum: Off-Topic Diskussionen
ein .htaccess-File für eine WordPress-Installation - wie gehe ich hier vor.?

hallo und guten Tag, wie lege ich denn einen .htaccess für eine WordPress-Installation an - wie gehe ich hier vor. Kann man das denn so mache ...

Geschrieben von dhubs am 13.11.2024 15:52:54
Forum: Webmaster