我应该使用if(strcmp(md5($string),$hash)== 0)或if(md5($string)== $hash)
在比较哈希时,你应该非常小心地进行身份验证,因为你可能会打开窗口进行定时攻击.
虽然听起来非常违反直觉,但你应该对字符串进行全面比较,避免任何优化(即如果字符不同则提前退出).
以下是有关此问题的一些链接:
> https://wiki.php.net/rfc/timing_attack
> http://codahale.com/a-lesson-in-timing-attacks/
> http://carlos.bueno.org/2011/10/timing.html
以下是一些想法,以解决它:
>最快最简单:只要使用hash_equals()
(PHP 5.6及更高版本).
> https://github.com/symfony/polyfill-php56/blob/master/Php56.php(hash_equals()polyfill)
> https://github.com/zendframework/zend-crypt/blob/master/src/Utils.php(compareStrings())