Deutsch
Deutsch
In der PHP -Entwicklung müssen wir häufig Zeichenfolgen vergleichen, insbesondere wenn sie sichere sensible Daten wie Kennwörter, Hash -Werte, Signaturen usw. verarbeiten. In der Regel können Entwickler für einfache String -Vergleiche in der Regel "==" verwenden. Wenn wir jedoch Hash -Zeichenfolgen diskutieren, bietet PHP eine spezielle Funktion Hash_equals () zum Vergleich. Warum empfiehlt PHP nicht "==" anstelle von Hash_equals () , aber letztere? Lassen Sie uns die Gründe dafür diskutieren.
In PHP ist == ein loser Vergleichsbetreiber, was bedeutet, dass der Operand automatisch so konvertiert wird, dass sie gemäß dem Typ des Operanden verglichen werden. Dieses Verhalten kann zu einigen unerwarteten Ergebnissen führen, wenn sie sich mit Zahlen und Zeichenfolgen befassen. Zum Beispiel:
<span><span><span class="hljs-variable">$hash1</span></span><span> = </span><span><span class="hljs-string">"abc"</span></span><span>;
</span><span><span class="hljs-variable">$hash2</span></span><span> = </span><span><span class="hljs-string">"a"</span></span><span> . </span><span><span class="hljs-string">"bc"</span></span><span>;
</span><span><span class="hljs-title function_ invoke__">var_dump</span></span><span>(</span><span><span class="hljs-variable">$hash1</span></span><span> == </span><span><span class="hljs-variable">$hash2</span></span><span>); </span><span><span class="hljs-comment">// Ausgabe: bool(true)</span></span><span>
</span></span>Im obigen Beispiel sehen $ Hash1 und $ Hash2 zunächst nicht gleich aus, aber da PHP bei lockerer Vergleiche eine Typumwandlung durchführt, wird davon ausgegangen, dass die beiden Zeichenfolgen gleich sind.
Noch wichtiger ist, dass PHP versucht, jedes Zeichen in der Zeichenfolge zu vergleichen, bis festgestellt wird, dass ein Zeichen in den beiden Zeichenfolgen unterschiedlich ist. Solche losen Vergleiche gelten jedoch nicht für Hash -Werte, da die Hash -Werte Darstellungen von Binärdaten sind und für jeden Charakter sehr hohe Anforderungen an die Sicherheit haben. Selbst bei geringfügigen Unterschieden sollte der Hash -Wert als unterschiedlich angesehen werden. Daher ist == nicht für Hash -Vergleiche geeignet.
Im Gegensatz zu == ist Hash_equals () speziell für den Hash -Wert -Vergleich ausgelegt. Es verhält sich sehr streng, führt keine Typumwandlungen durch und wird nicht durch lose PHP -Vergleiche beeinflusst. Hash_equals () überprüft den Inhalt des Byte -Byte -Byte -Byte, um sicherzustellen, dass sie genau gleich sind. Wenn es einen Unterschied gibt, gibt es sofort false zurück und es gibt keinen Fehler aufgrund des Typs der Zeichenfolge oder anderer Faktoren.
Darüber hinaus hat Hash_equals () auch das Problem, Zeitangriffe zu verhindern. Timing -Angriff ist eine Angriffsmethode, bei der die Unterschiede zur Betriebszeit verwendet werden, um sensible Daten zu erraten. Wenn Sie == zur direkten Vergleichung von Hash -Werten verwenden, kann PHP während des Vergleichsprozesses einige Informationen austauschen, und der Angreifer kann die Unterschiede zwischen verschiedenen Hash -Werten durch sorgfältige Beobachtung schließen. Hash_equals () gibt das Ergebnis nach, nachdem alle Zeichen verglichen werden, wodurch diese Sicherheitsanfälligkeit vermieden wird.
Da == ein loser Vergleich ist, kann es bei der Verarbeitung von Hash -Werten ein unvorhersehbares Verhalten haben. Wenn Sie beispielsweise "==" verwenden, wenn Sie Hash -Vergleiche durchführen und die Eingangs -Hash -Zeichenfolgelänge inkonsistent ist, kann PHP es ausfüllen, was zu unnötigen Übereinstimmungen führt. Es wird kein solches Problem mit Hash_Equals () geben, was jeden Byte der beiden Saiten genau vergleichen wird, um sicherzustellen, dass sie genau konsistent sind.
Eines der Risiken für die Verwendung von == zum Vergleich von Hash -Werten ist das Potenzial, Informationen über die Stringlänge auszugehen. Wenn PHP im Vergleich von zwei Hash -Zeichenfolgen unterschiedliche String -Verarbeitungsalgorithmen oder Zeichenkonvertierungen verwendet, kann ein Angreifer möglicherweise einen Informationen über den Zeitunterschied erraten.
Hash_equals () liefert einen konstanten Zeitvergleich, d. H. Die Ausführungszeit der Eingangszeichenfolge ist gleich, was für die Verhinderung von Timing-Angriffen sehr wichtig ist.
Obwohl die Implementierung von Hash_Equals () etwas langsamer sein kann als == , überschreiten seine Sicherheitsvorteile diesen Leistungsaufwand bei weitem. Insbesondere beim Umgang mit Passwörtern oder sensiblen Daten sollte die Sicherheit immer Vorrang vor der Leistung haben. Selbst wenn == in einigen Fällen schneller ausgeführt wird, wird daher mehr empfohlen, Hash_equals () für Hash -Vergleiche zu verwenden.
Darüber hinaus hat PHP Leistungsoptimierungen bei der Implementierung von Hash_equals () durchgeführt, um sicherzustellen, dass es in den meisten Fällen effizient funktioniert.
Obwohl "==" ein häufiger Vergleichsbetreiber ist, ist es für Hash -Vergleiche nicht geeignet, insbesondere in Situationen, in denen die Sicherheitsanforderungen hoch sind. Hash_equals () ist speziell für Hash -Vergleiche ausgelegt, die strengere und sicherere Überprüfung liefern und die Probleme vermeiden können, die durch lose Vergleiche verursacht werden können. Um die Sicherheit des Codes zu gewährleisten, insbesondere wenn es um sensible Daten wie Kennwörter, API -Schlüssel oder digitale Signaturen geht, sollten Entwickler immer Hash_equals () anstelle von == für Hash -Vergleiche verwenden.
