(PHP 5 >= 5.6.0, PHP 7, PHP 8)
hash_equals — 防止时序攻击的安全字符串比较
$known_string, #[\SensitiveParameter] string $user_string): bool检查两个字符串是否相等,而不会通过执行时间泄露有关 known_string 内容的信息。
此函数可用于缓解时序攻击。使用 === 进行常规比较将花费更多或更少的时间来执行,具体取决于两个值是否不同以及第一个差异在哪个位置被找到,从而泄露有关秘密 known_string 内容的信息。
重要的是,将用户提供的字符串作为第二个参数提供,而不是第一个参数。
范例 #1 hash_equals() 范例
<?php
$secretKey = '8uRhAeH89naXfFXKGOEj';
// 值和签名由用户提供,例如在 URL 中,并使用 $_GET 获取。
$value = 'username=rasmuslerdorf';
$signature = '8c35009d3b50caf7f5d2c1e031842e6b7823a1bb781d33c5237cd27b57b5f327';
if (hash_equals(hash_hmac('sha256', $value, $secretKey), $signature)) {
echo "该值已正确签名.", PHP_EOL;
} else {
echo "该值已被篡改.", PHP_EOL;
}
?>上面的例子将输出
The value is correctly signed.
注意:
两个参数必须具有相同的长度才能成功比较。当提供不同长度的参数时,将立即返回
false,并且在发生时序攻击的情况下,已知字符串的长度可能会泄露。