php - hash_equals 和 strcmp 函数的区别

Question

hash_equals — 定时攻击安全字符串比较。
我想知道什么是定时攻击安全。

我看到了 hash_equals 的实现

$result = 0;
    for ($i = 0; $i < $len; $i++) {
        $result |= (ord($known_string[$i]) ^ ord($user_string[$i]));
    }
    // They are only identical strings if $result is exactly 0...
    return 0 === $result;

我想知道时间对比在哪里。

Answer 1

通常，字符串比较( strcmp 或 == )会在第一个不匹配的字符处中断，因此如果您的密码是 12345并且攻击者提供 9xxxx然后 1xxxx ，她可以测量两次比较之间的时间差并推断出第二个字符串更正确(因为第二次比较花费了更多时间)。 hash_equals通过始终比较两个字符串的所有字符来消除这种类型的攻击，无论它们是否匹配。因此，越来越少的正确字符串将花费相同的时间。