- So sánh chuỗi trong PHP hoạt động như thế nào?
- Timing attack là gì?
- Vấn đề không nằm ở == hay ===, mà nằm ở thời gian
- hash_equals() giải quyết vấn đề gì?
- Ví dụ so sánh sai (không nên dùng)
- Ví dụ so sánh đúng (nên dùng)
- hash_equals() không phải thuốc tiên
- Khi nào bắt buộc phải dùng hash_equals()?
- Hiệu năng có đáng lo không?
- Kết luận
Bài viết này giải thích rõ vì sao == hoặc === là chưa đủ an toàn, timing attack là gì, và hash_equals() giải quyết vấn đề đó như thế nào — theo cách thực tế, không lý thuyết suông.
So sánh chuỗi trong PHP hoạt động như thế nào?
Khi bạn viết:
if ($input === $secret) {
// authenticated
}
PHP sẽ so sánh từng ký tự của hai chuỗi từ trái sang phải. Ngay khi phát hiện một ký tự khác nhau, PHP dừng so sánh ngay lập tức và trả về false.
Điều này nghe có vẻ hợp lý, nhưng chính hành vi “dừng sớm” này tạo ra một lỗ hổng bảo mật.
Timing attack là gì?
Timing attack là kỹ thuật tấn công dựa trên thời gian xử lý của hệ thống.
Vì PHP dừng so sánh ngay khi gặp ký tự sai:
- Chuỗi đúng 1 ký tự đầu → chạy lâu hơn
- Chuỗi đúng 5 ký tự đầu → chạy lâu hơn nữa
- Chuỗi đúng toàn bộ → chạy lâu nhất
Nếu kẻ tấn công có thể gửi nhiều request và đo thời gian phản hồi, họ có thể suy ra từng ký tự của secret một cách từ từ.
Điều này đặc biệt nguy hiểm với:
- API Key
- HMAC signature
- Webhook secret
- Token xác thực
Vấn đề không nằm ở == hay ===, mà nằm ở thời gian
Nhiều người nghĩ rằng dùng === là đủ an toàn vì so sánh chặt chẽ hơn ==. Thực tế:
==→ nguy hiểm hơn vì type juggling===→ đúng về logic, nhưng vẫn lộ timing
Cả hai đều không phải constant-time comparison.
hash_equals() giải quyết vấn đề gì?
hash_equals() được thiết kế để so sánh các giá trị bảo mật.
Đặc điểm quan trọng nhất:
- So sánh toàn bộ chuỗi, kể cả khi đã biết là sai
- Thời gian xử lý không phụ thuộc vào số ký tự đúng
- Giảm thiểu nguy cơ timing attack
Nói cách khác: đúng hay sai đều mất gần như cùng một thời gian.
Ví dụ so sánh sai (không nên dùng)
if ($api_key === STORED_API_KEY) {
// Không an toàn cho giá trị bảo mật
}
Code này chạy được, nhưng không an toàn nếu endpoint có thể bị brute-force hoặc spam request.
Ví dụ so sánh đúng (nên dùng)
if (hash_equals(STORED_API_KEY, $api_key)) {
// An toàn hơn
}
Đây là cách so sánh đúng cho:
- API Key
- Webhook secret
- Token nội bộ
- HMAC signature
hash_equals() không phải thuốc tiên
Cần hiểu rõ: hash_equals() không giúp bạn nếu:
- API Key đã bị lộ
- Bạn để secret trong frontend
- Bạn truyền key qua URL
Nó chỉ giải quyết một vấn đề cụ thể: rò rỉ thông tin qua thời gian xử lý.
Khi nào bắt buộc phải dùng hash_equals()?
Bạn nên coi hash_equals() là bắt buộc khi so sánh:
- Bất kỳ giá trị nào đến từ request
- Bất kỳ secret nào dùng để xác thực
- Bất kỳ chữ ký nào dùng để verify
Nếu không chắc → cứ dùng hash_equals(). Không có lý do chính đáng để không dùng.
Hiệu năng có đáng lo không?
Không.
Chi phí của hash_equals() là rất nhỏ so với:
- Network latency
- Database query
- WordPress bootstrap
Đánh đổi một chút CPU để đổi lấy bảo mật là hoàn toàn hợp lý.
Kết luận
Dùng == hoặc === để so sánh giá trị bảo mật là một thói quen xấu tồn tại rất lâu trong cộng đồng PHP. Nó không sai về logic, nhưng sai về bảo mật.
hash_equals() tồn tại vì một lý do rất rõ ràng: ngăn timing attack. Nếu bạn đang xây dựng API, webhook, hoặc bất kỳ hệ thống xác thực nào, hãy coi việc dùng hash_equals() là tiêu chuẩn, không phải tùy chọn.
Bảo mật tốt không đến từ code phức tạp, mà đến từ việc dùng đúng công cụ cho đúng vấn đề.
Bình luận