PHP 5.5 будет поддерживать функции пароля password_hash() и password_verify(). Также есть файл, чтобы добавить эти функции в > 5.3.7.
Моя проблема в том, что в настоящее время я запускаю пакет debian 5.3.3-7 + squeeze14.
Есть ли способ сделать эту функцию доступной с этой старой версией PHP?
Итак, прежде чем я начну, позвольте мне ясно сказать одно. Я являюсь автором данной библиотеки (и патч для 5.5).
С учетом сказанного, то, что говорили другие, абсолютно верно. Причина, по которой 5.3.7 является минимальной версией, заключается в том, что все предыдущие версии имеют ошибку в реализации bcrypt, которая может привести к потере энтропии в паролях с использованием высокобайтных символов (кодовые точки >= 128).
Это основная причина, по которой 5.3.7 является минимальной версией. И я бы высоко предлагал модернизировать, по крайней мере, до 5.3.7, но, возможно, самое последнее (ряд важных проблем безопасности был обнаружен в не очень старых версиях).
Теперь, что вы можете сделать, если вы застряли в более низкой версии? Вы можете разветкить библиотеку и настроить $2y$ на $2a$. Это по крайней мере заставит вас работать. Пароли, созданные таким образом, будут переносимыми с будущими версиями (библиотека предназначена для проверки старых crypt() паролей).
Однако я бы рекомендовал, чтобы вы этого не делали. Просто перейдите на новую версию PHP. Это не так сложно (есть пакеты deb из dotdeb, которые могут сделать это для вас).
Если вы действительно застряли в старой версии, я бы предположил, что вы используете библиотеку, предназначенную для этого. Что-то вроде моего PasswordLib или PhPass (обратите внимание, что вы должны использовать только эту связанную версию библиотека, есть несколько других на github, которые сильно отличаются).
PHP >= 5.3.7 требуется, потому что в эту версию включен исправленный алгоритм bcrypt 2y. Предыдущий алгоритм 2a был нарушен для паролей с байтами вне диапазона US-ASCII.
Есть хорошая вероятность, что ваша версия 5.3.3-7 + squeeze14 также включает это исправление. Распределения обычно остаются в определенной версии, но исправления безопасности backport (как этот).
Итак, вы должны просто проверить, доступен ли этот алгоритм, и если вы можете безопасно использовать password_compat.
changelog для пакета немного неясен. Он упоминает, что 2x был добавлен, но не говорит, добавлен ли 2y (но он, вероятно, был).
Причина, по которой 5.3.7 была сделана, минимальная версия объясняется тем, что функция crypt() с использованием bcrypt в более ранних версиях PHP выводит совершенно разные результаты в текущие версии.
Вы можете увидеть результат самостоятельно: http://3v4l.org/3cAZf
Используя следующий код:
<?php
var_dump(crypt('rasmuslerdorf', '$2y$07$usesomesillystringforsalt$'));
string (60) "$ 2y $07 $usesomesillystringfore2uDLvp1Ii2e./U9C8sBjqp8I90dH6hi"
строка (13) "$ 25di0cl7EYZA"
string (13) "$ 2v4FKr10WzJ2"