한국어
한국어
PHP에서 Hash_equals는 두 줄이 동일한지 여부를 비교하는 데 사용되는 함수입니다. 해시 값을 확인할 때와 같은 시간 공격을 방지하는 데 종종 사용됩니다. 비교 프로세스 시간이 일정하도록 두 문자열의 각 문자를 비교하여 보안을 향상시킵니다.
그러나 어떤 경우에는 개발자들이 해시 _equals를 자주 사용하면 메모리 사용 및 메모리 누출이 비정상적으로 증가 할 수 있음을 발견했습니다. 이 기사는 가능한 원인을 분석하고 메모리 누출을 피하기위한 제안을합니다.
hash_equals (String $ known_string, String $ user_string) : bool
기능 : 두 줄이 같은지 안전하게 비교하십시오.
응용 프로그램 시나리오 : 비밀번호 해시 비교, API 서명 검증 등
샘플 코드 :
<?php
$known = '5f4dcc3b5aa765d61d8327deb882cf99';
$userInput = '5f4dcc3b5aa765d61d8327deb882cf99';
if (hash_equals($known, $userInput)) {
echo "성공적으로 일치합니다";
} else {
echo "경기가 실패했습니다";
}
?>
PHP 자체는 Hash_equals를 비교적 안정적으로 구현하지만 일부 확장자 또는 특정 버전의 PHP가 사용되면 회복되지 않은 메모리 누출이있을 수 있습니다.
Hash_equals 는 두 매개 변수 모두 문자열이며 길이가 동일해야합니다. 비 스트링 또는 다른 길이 매개 변수를 통과하면 특히 문제를 증폭시키는 루프 호출에서 기본 메모리 예외를 유발할 수 있습니다.
Hash_equals가 매우 큰 문자열을 반복적으로 호출하고 스크립트에서 변수가 제대로 해제되지 않으면 메모리 성장이 발생할 수 있습니다.
통화 전에 들어오는 매개 변수를 확인하여 문자열이고 길이가 같은지 확인하고 암시 적 변환으로 인한 잠재적 문제를 피하십시오.
<?php
function safe_hash_equals($known, $user) {
if (!is_string($known) || !is_string($user)) {
return false;
}
if (strlen($known) !== strlen($user)) {
return false;
}
return hash_equals($known, $user);
}
?>
장기 실행 스크립트 또는 루프에서는 불필요한 가변 참조를 피하고 시간에 메모리를 깨끗하게하지 마십시오.
<?php
for ($i = 0; $i < 100000; $i++) {
$known = 'hash_value_here';
$user = getUserInput(); // 이것이 입력을 얻는 함수라고 가정하십시오
safe_hash_equals($known, $user);
unset($user);
// 또한 사용 가능합니다 gc_collect_cycles() 강제 쓰레기 수집(주의해서 사용하십시오)
}
?>
많은 메모리 관리 문제가 새 버전의 PHP에서 수정되었으며 최신 안정 버전을 사용하는 것이 좋습니다. 또한 관련 확장의 업데이트 상태를 확인하십시오.
가능하면 결과를 캐시하거나 Hash_Equals에 대한 반복 호출을 피하여 메모리 압력을 줄입니다.
Hash_equals 는 PHP의 문자열을 안전하게 비교할 수있는 좋은 도우미이지만 부적절한 사용은 메모리 누출로 이어질 수 있습니다. 메모리 누출을 피하는 핵심은 다음과 같습니다.
매개 변수가 합법적이고 유형 및 길이 일치인지 확인하십시오.
변수를 합리적으로 관리하고 메모리를 적시에 해제합니다.
최신 버전의 PHP 및 관련 확장을 사용하십시오.
불필요한 중복 통화를 줄입니다.
이를 통해 메모리 누출이 시스템 성능에 미치는 영향을 피하면서 응용 프로그램의 보안을 최대한 활용할 수 있습니다.
PHP 보안 기능 사용에 대해 자세히 알아 보려면 자세한 내용은 https://gitbox.net/php-manual/function.hash_equals.html 방문과 같은 공식 문서 및 커뮤니티 모범 사례를 참조하십시오.
