首先,我发现其他语言:bcrypt-ruby似乎使用OpenBSD的原始C代码或jBCrypt的java代码. py-bcrypt是BSD代码的薄包装器. BCrypt.net是jBCrypt的直接港口.
现在,PHP本身在the crypt function中支持bcrypt(虽然误导性地简称为’blowfish’).但是,5.3之前的版本需要系统本身的支持,通常由crypt_blowfish提供.phpass是相同的,并建议安装PHP 5.3或Suhosin .
由于该应用程序的许多用户使用标准共享主机,我不想要求服务器的任何特殊配置.我希望只是从PHP的5.3版本中窃取代码,但它是在C中,并且(从我刚刚完成的一小部分阅读中)我不能要求为项目的用户使用C扩展.
我想到只是创建一个纯粹的PHP端口bcrypt,但是看看the source of jBCrypt,我不确定我应该这样,因为我对PHP或河豚不太熟悉,而且这里的错误可能既危险又困难首先要检测.
所以,我向你提出两个(多部分)问题:
>我缺乏PHP知识是否能让我受益匪浅?我真的可以使用已经创建的实现之一吗?
>我应该只创建一个简单的loooping函数,重复调用sha1()或md5()一段可配置的次数?
Is my lack of PHP knowledge getting the best of me? Can I really use one of the already-created implementations?
不幸的是,你是对的.在5.3.0之前,PHP默认不支持bcrypt.相反,它依赖于操作系统的支持(检查CRYPT_BLOWFISH常量).正如您所指出的那样,Suhosin是一种选择.
Should I instead just create a simple loooping function that calls sha1() or md5() repeatedly for some configurable number of times?
关于密码学的最佳建议是“不要自己动手”.重复调用sha1()或md5()可能会也可能不会增加安全性.
另一方面,bcrypt的作者在this paper年解释了他们的设计决定.