WordPress如何加密敏感数据

1. WordPress处理敏感数据比如密码啥的，主要靠哈希和加盐这两招。它不是直接存你的明文密码，而是用一套叫password_hash的函数搞成乱码，这样就算数据库漏了，黑客也难倒推出原内容。比如用户注册时，密码这么处理：

$password = 'user_input_password';
$hashed_password = wp_hash_password($password);
// 输出像 $P$B5y7U8JfV6gHq1Z2X3C4A5b6C7D8E9F 这样的字符串

2. 加盐（salt）是啥？就是额外扔点随机数据进哈希过程，让相同密码输出不同结果，防止彩虹表攻击。WordPress自动生成盐值，存在wp-config.php里，像这样：

define('AUTH_KEY', 'put your unique phrase here'); // 实际是一长串随机字符

3. 检查密码时，WordPress用wp_check_password函数对比哈希值，而不是解密。因为哈希是单向的，只能验证不能反转：

if (wp_check_password($input_password, $stored_hashed_password, $user_id)) {
    echo '密码对了！';
} else {
    echo '喂，输错了吧？';
}

4. 对于非密码数据，比如API密钥，WordPress建议用wp_encrypt和wp_decrypt函数，这些基于PHP的OpenSSL库。但注意，解密需要密钥，所以别用在密码上：

$encrypted_data = wp_encrypt('sensitive_info', AUTH_SALT);
$decrypted_data = wp_decrypt($encrypted_data, AUTH_SALT);
// 适合存储后需取回的数据

5. 整体上，WordPress的加密机制挺靠谱，但开发者得注意：别自己瞎实现加密，多用内置函数。数据库泄露时，哈希和盐能拖住黑客，但定期更新盐值更安全——反正WordPress会自动处理这些琐碎事，咱专心写业务逻辑就行。

Tags：

文章版权声明：除非注明，否则均为WP集市原创文章，转载或复制请以超链接形式并注明出处。