PHP的password_verify()函数对于非常长的密码（DoS攻击）是安全的吗？

8 浏览2023年1月29日

匿名的 2023年1月30日

0 Comments

一般攻击场景：

在2013年，Django存在一个一般性漏洞，攻击者可以通过非常大的密码创建极端密集的CPU计算[点击此处查看安全通知]。我不确定在没有任何进一步检查的情况下，使用PHP的password_verify()和其他密码哈希方法是否仍然可能存在此漏洞。

PHP文档中说：

使用PASSWORD_BCRYPT作为algo参数将导致password参数被截断为最大长度为72个字符。

但是，PHP的代码可能说了不同的话：

然而，PHP 5.5.0的password_verify()函数的C代码并没有直接限制传递的参数（也许在bcrypt算法的更深层级上有限制？）。此外，PHP的实现也没有限制参数。

问题：

password_verify()（以及同一函数集的其他函数）是否容易受到通过达到POST参数最大值的DoS攻击？请考虑POST上传大小远大于4MB的整个站点配置情况。

如何在PHP中使用password_verify函数

Am I using PHP's crypt() function correctly?

使用md5加密的安全性更高，即使更加困难。

什么方法是哈希密码的最佳方法？

盐与密码

密码散列和密码验证

安全的哈希和盐用于 PHP 密码

如何使用PHP的password_hash函数进行密码哈希和验证

php密码哈希和密码验证问题不匹配

PHP的安全性方面，为什么MD5不再被认为是安全的？

用户名、密码、加盐、加密、哈希 - 这一切是如何工作的？

在mysql数据库中存储密码的最佳方法是什么？

sha512能保护您免受极易破解的密码吗？

如何使用password_verify()从数据库中检索密码？

PHP最强的单向加密/哈希方法。

Php密码验证问题

如何更好地阻止暴力破解？

如何在MySQL数据库中加密密码？

登录表单的简单SQL注入解决方案？

随机的睡眠能够预防定时攻击吗？