関数・クラス解説
hash_equals
version:PHP 5 >= 5.6.0, PHP 7 (公式)タイミング攻撃に対して安全な文字列比較
公式リファレンス
書式
hash_equals ( string $known_string , string $user_string ) : bool
説明
2つの文字列が等しいかどうか、同じ長さの時間で比較します。
この関数は、タイミング攻撃を緩和するために使われるべきです。 たとえば crypt() によるパスワードのハッシュを検証する場合などです。
パラメータ
- known_string
- 比較対象とする既知の長さの文字列
- user_string
- ユーザー指定の文字列
返値
2つの文字列が等しい場合は TRUE を返し、そうでない場合は FALSE を返します。
エラー
指定されたパラメータのいずれかが文字列でない場合、 E_WARNING メッセージを出力します。
注意
注意: 正しく比較するには、両方の引数が同じ長さでなければなりません。 異なる長さの引数を与えた場合、 FALSE が直ちに返され、 タイミング攻撃を加えられていると、既知の文字列の長さが漏れる可能性があります。
注意: ユーザー指定の文字列を、最初ではなく2番目のパラメーターとして指定することが重要です。
サンプル
例1 hash_equals() の例
$expected = crypt('12345', '$2a$07$usesomesillystringforsalt$');
$correct = crypt('12345', '$2a$07$usesomesillystringforsalt$');
$incorrect = crypt('apple', '$2a$07$usesomesillystringforsalt$');
var_dump(hash_equals($expected, $correct));
var_dump(hash_equals($expected, $incorrect));
上の例の出力は以下となります。
bool(true)
bool(false)
ワード検索
※入力キーワードが、関数名・説明文・タグに含まれるものを検索関数名アルファベット別
最終更新一覧
●stristr
大文字小文字を区別せず文字列を検索し、ヒット箇所以降(あるいは以前)の文字列を返却
●stripslashes
バックスラッシュでエスケープされた文字列から、バックスラッシュを取り除く
●stripos
大文字小文字を区別せずに文字列が最初に現れる位置を取得する
●stripcslashes
addcslashes() でクォートされた文字列をアンクォートする
●strip_tags
文字列から HTML と PHP のタグを除去して返却
●strcspn
指定した文字が最初に現れる位置を調べる
●strcoll
ロケールに基づいて2つの文字列を比較し同じか(あるいは大小)を判定する
●strcmp
2つの文字列を比較し同じか(あるいは大小)を判定する
●strchr
strstr() のエイリアス
●strcasecmp
2つの文字列を比較(大文字小文字を区別せず同じとみなす)
カテゴリー一覧
PHP の振る舞いの変更
音声フォーマットの操作
認証サービス
コマンドライン関連
圧縮およびアーカイブ
暗号
データベース関連
日付および時刻関連
ファイルシステム
自然言語および文字エンコーディング
画像処理および作成
メール関連
数学
テキスト以外の MIME 型
プロセス制御
その他の基本モジュール
その他のサービス
検索エンジン用の拡張モジュール
サーバー固有のモジュール
セッション関連
テキスト処理
変数・データ型関連
ウェブサービス
Windows 用のモジュール
XML 操作
GUI用の拡張モジュール