验证函数定义
<?php
declare(strict_types=1);
/**
* 严格密码校验(strict)
*
* 规则(默认,可通过$options微调):
* - 长度:12–64
* - 必须包含:至少1个大写字母、1个小写字母、1个数字、1个符号
* - 不允许空白字符(空格、制表符、换行等)
* - 仅允许可打印ASCII字符(0x21–0x7E),避免不可见或易混淆字符
* - 禁止连续3个及以上相同字符(如:aaa、111)
* - 禁止常见顺序序列(长度≥4),如:abcd、1234、qwer(含反向序列)
* - 可选黑名单匹配
*
* @param string $password 待验证的密码(不要在入参前对密码进行trim/normalize)
* @param array{
* min_length?: int,
* max_length?: int,
* require_upper?: bool,
* require_lower?: bool,
* require_digit?: bool,
* require_symbol?: bool,
* disallow_whitespace?: bool,
* ascii_only?: bool,
* max_repeating_run?: int, // 允许的最大连续重复次数(默认2,表示3连及以上视为违规)
* min_sequence_len?: int, // 序列最小长度(默认4)
* blacklist?: string[] // 直接匹配的黑名单(小写比对)
* } $options
*
* @return array{
* valid: bool,
* errors: string[], // 错误码列表
* messages: string[] // 可直接显示的错误信息(中文)
* }
*
* @throws InvalidArgumentException // 当$options配置非法时
*/
function validatePasswordStrict(string $password, array $options = []): array
{
// 1) 读取并规范化校验参数
$minLen = $options['min_length'] ?? 12;
$maxLen = $options['max_length'] ?? 64;
$requireUpper = $options['require_upper'] ?? true;
$requireLower = $options['require_lower'] ?? true;
$requireDigit = $options['require_digit'] ?? true;
$requireSymbol = $options['require_symbol'] ?? true;
$disallowWS = $options['disallow_whitespace'] ?? true;
$asciiOnly = $options['ascii_only'] ?? true;
$maxRepeatRun = $options['max_repeating_run'] ?? 2;
$minSeqLen = $options['min_sequence_len'] ?? 4;
$blacklist = $options['blacklist'] ?? [];
// 2) 参数合法性检查(避免错误配置导致绕过)
if ($minLen < 8 || $maxLen < $minLen || $maxLen > 256) {
throw new InvalidArgumentException('Invalid length constraints.');
}
if ($maxRepeatRun < 1 || $minSeqLen < 3) {
throw new InvalidArgumentException('Invalid repetition/sequence constraints.');
}
if (!is_array($blacklist)) {
throw new InvalidArgumentException('Blacklist must be an array of strings.');
}
// 3) 准备结果容器
$errors = [];
$messages = [];
// 4) 长度检查(不对密码做trim,避免误改用户输入)
$len = strlen($password);
if ($len < $minLen) {
$errors[] = 'length_short';
$messages[] = "密码长度不能少于{$minLen}个字符。";
}
if ($len > $maxLen) {
$errors[] = 'length_long';
$messages[] = "密码长度不能超过{$maxLen}个字符。";
}
// 5) 空白字符检查
if ($disallowWS && preg_match('/\s/', $password) === 1) {
$errors[] = 'whitespace_found';
$messages[] = '密码不能包含空白字符(空格、制表符、换行等)。';
}
// 6) ASCII可打印字符限制(0x21-0x7E,排除空格)
if ($asciiOnly && preg_match('/^[\x21-\x7E]+$/', $password) !== 1) {
$errors[] = 'not_ascii_printable';
$messages[] = '密码仅允许使用可打印ASCII字符(不含空格)。';
}
// 7) 复杂度类别检查
if ($requireUpper && preg_match('/[A-Z]/', $password) !== 1) {
$errors[] = 'missing_upper';
$messages[] = '至少包含1个大写字母。';
}
if ($requireLower && preg_match('/[a-z]/', $password) !== 1) {
$errors[] = 'missing_lower';
$messages[] = '至少包含1个小写字母。';
}
if ($requireDigit && preg_match('/\d/', $password) !== 1) {
$errors[] = 'missing_digit';
$messages[] = '至少包含1个数字。';
}
// 针对ASCII符号更精确的范围:!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~
if ($requireSymbol && preg_match('/[!"#$%&\'()*+,\-\.\/:;<=>?@\[\\\\]^_`{|}~]/', $password) !== 1) {
$errors[] = 'missing_symbol';
$messages[] = '至少包含1个符号字符(如 !@#\$%^&* 等)。';
}
// 8) 连续重复字符检查(如:aaa、111)
if ($maxRepeatRun >= 1) {
$pattern = '/(.)\1{' . $maxRepeatRun . ',}/'; // 连续>= maxRepeatRun+1
if (preg_match($pattern, $password) === 1) {
$errors[] = 'repeated_chars';
$messages[] = "不允许出现连续超过" . $maxRepeatRun . "个相同字符的片段。";
}
}
// 9) 序列检查(字母、数字、键盘序列,含反向;长度>= $minSeqLen)
if (containsForbiddenSequence($password, $minSeqLen)) {
$errors[] = 'sequential_chars';
$messages[] = "不允许出现长度≥{$minSeqLen}的顺序或键盘序列(例如 abcd、1234、qwer)。";
}
// 10) 黑名单直匹配(使用小写比对)
if (!empty($blacklist)) {
$passLower = strtolower($password);
foreach ($blacklist as $bad) {
if (!is_string($bad)) continue;
if ($passLower === strtolower($bad)) {
$errors[] = 'blacklisted';
$messages[] = '密码过于常见或存在泄露风险,请更换。';
break;
}
}
}
return [
'valid' => count($errors) === 0,
'errors' => $errors,
'messages' => $messages,
];
}
/**
* 检测是否包含常见顺序序列或键盘序列的子串。
* - 字母:abcdefghijklmnopqrstuvwxyz(及反向)
* - 数字:0123456789(及反向)
* - 键盘行:qwertyuiopasdfghjklzxcvbnm(及反向)
*/
function containsForbiddenSequence(string $password, int $minSeqLen = 4): bool
{
if ($minSeqLen < 3) {
$minSeqLen = 3; // 安全下限
}
$p = strtolower($password);
// 序列基准
$sequences = [
'abcdefghijklmnopqrstuvwxyz',
'0123456789',
'qwertyuiopasdfghjklzxcvbnm',
];
foreach ($sequences as $seq) {
if (hasSubsequence($p, $seq, $minSeqLen)) {
return true;
}
$rev = strrev($seq);
if (hasSubsequence($p, $rev, $minSeqLen)) {
return true;
}
}
return false;
}
/**
* 判断字符串$p中是否包含序列$seq的任意长度>=minLen的连续片段。
*/
function hasSubsequence(string $p, string $seq, int $minLen): bool
{
$seqLen = strlen($seq);
for ($l = $minLen; $l <= $seqLen; $l++) {
for ($i = 0; $i <= $seqLen - $l; $i++) {
$sub = substr($seq, $i, $l);
if ($sub !== '' && strpos($p, $sub) !== false) {
return true;
}
}
}
return false;
}
核心验证逻辑
- 长度验证:拒绝小于最小长度或超过最大长度的密码。
- 字符集验证:
- 可选限制为可打印ASCII(0x21–0x7E),避免空格及不可见字符引发存储/显示问题。
- 可选禁用所有空白字符。
- 复杂度检查:分别确保至少包含1个大写、1个小写、1个数字、1个符号。
- 重复字符检查:拒绝连续超过指定次数(默认>2)的相同字符片段。
- 序列检查:拒绝常见顺序(字母、数字)与键盘序列(qwerty…)及其反向,长度≥4即视为违规。
- 黑名单检查:支持对已知常见或泄露密码进行直接匹配拦截(区分大小写前先统一为小写进行比较)。
返回值说明
- valid: 布尔值。true 表示通过所有校验;false 表示至少存在一项违规。
- errors: 错误码数组,用于程序内分支处理(例如 i18n)。
- 可能的错误码:length_short, length_long, whitespace_found, not_ascii_printable, missing_upper, missing_lower, missing_digit, missing_symbol, repeated_chars, sequential_chars, blacklisted
- messages: 面向用户的中文提示数组,可直接展示或拼接后展示。
使用示例(后端集成)
<?php
declare(strict_types=1);
// 示例黑名单(可替换为更完整的列表或来源于配置/数据库)
$commonPasswords = [
'password', '123456', '123456789', 'qwerty', '111111', '123123', 'abc123', 'password1'
];
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
// 服务器端不要trim密码,原样读取
$password = $_POST['password'] ?? '';
$result = validatePasswordStrict($password, [
'min_length' => 12,
'max_length' => 64,
'require_upper' => true,
'require_lower' => true,
'require_digit' => true,
'require_symbol' => true,
'disallow_whitespace' => true,
'ascii_only' => true,
'max_repeating_run' => 2,
'min_sequence_len' => 4,
'blacklist' => $commonPasswords,
]);
if (!$result['valid']) {
// 返回422并输出错误信息(JSON示例)
http_response_code(422);
header('Content-Type: application/json; charset=UTF-8');
echo json_encode([
'ok' => false,
'errors' => $result['errors'],
'messages' => $result['messages'],
], JSON_UNESCAPED_UNICODE);
exit;
}
// 通过校验,安全哈希存储(不要明文存储)
// PASSWORD_DEFAULT 在当前PHP版本会选择安全算法(如 Argon2id 或 Bcrypt)
$hash = password_hash($password, PASSWORD_DEFAULT);
// 持久化$hash到数据库...
// 示例响应:
header('Content-Type: application/json; charset=UTF-8');
echo json_encode(['ok' => true], JSON_UNESCAPED_UNICODE);
exit;
}
使用示例(前端校验:HTML + JS)
说明:
- 前端仅用于提升用户体验,后端校验必须保留且为最终裁决。
- pattern 与 JS 实时校验与后端规则尽量一致,但正则能力有限,仍以后端为准。
<form id="signup" method="post" action="/register">
<label for="password">密码(12–64位,含大小写、数字、符号)</label>
<input
type="password"
id="password"
name="password"
inputmode="text"
minlength="12"
maxlength="64"
autocomplete="new-password"
required
pattern="^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[!"#$%&'()*+,\-\.\/:;<=>?@\[\\\]\^_`{|}~])(?!.*\s)[\x21-\x7E]{12,64}$"
aria-describedby="pwd-help"
/>
<div id="pwd-help">
<ul id="pwd-rules">
<li data-rule="len">长度 12–64</li>
<li data-rule="lower">至少1个小写字母</li>
<li data-rule="upper">至少1个大写字母</li>
<li data-rule="digit">至少1个数字</li>
<li data-rule="symbol">至少1个符号</li>
<li data-rule="space">不包含空白字符</li>
<li data-rule="repeat">不出现≥3个连续相同字符</li>
<li data-rule="sequence">不包含 abcd/1234/qwer 等序列</li>
</ul>
</div>
<button type="submit">提交</button>
</form>
<script>
(function () {
const input = document.getElementById('password');
const rules = {
len: v => v.length >= 12 && v.length <= 64,
lower: v => /[a-z]/.test(v),
upper: v => /[A-Z]/.test(v),
digit: v => /\d/.test(v),
symbol: v => /[!"#$%&'()*+,\-\.\/:;<=>?@\[\\\]\^_`{|}~]/.test(v),
space: v => !/\s/.test(v),
ascii: v => /^[\x21-\x7E]*$/.test(v),
repeat: v => !/(.)\1{2,}/.test(v),
sequence: v => containsSequence(v.toLowerCase(), 4) === false
};
const li = Object.fromEntries(
Array.from(document.querySelectorAll('#pwd-rules li'))
.map(el => [el.getAttribute('data-rule'), el])
);
function containsSequence(p, minLen) {
const seqs = [
'abcdefghijklmnopqrstuvwxyz',
'0123456789',
'qwertyuiopasdfghjklzxcvbnm'
];
const hasSub = (s, seq, l) => {
for (let len = l; len <= seq.length; len++) {
for (let i = 0; i <= seq.length - len; i++) {
const sub = seq.slice(i, i + len);
if (sub && s.includes(sub)) return true;
}
}
return false;
};
for (const seq of seqs) {
if (hasSub(p, seq, minLen)) return true;
const rev = seq.split('').reverse().join('');
if (hasSub(p, rev, minLen)) return true;
}
return false;
}
function updateUI() {
const v = input.value;
for (const [k, fn] of Object.entries(rules)) {
const ok = fn(v);
const el = li[k];
if (!el) continue;
el.style.color = ok ? '#2e7d32' : '#c62828';
el.style.textDecoration = ok ? 'none' : 'none';
el.textContent = el.textContent.replace(/^✅|^❌/,'').trim();
el.textContent = (ok ? '✅ ' : '❌ ') + el.textContent;
}
// 将ASCII限制也纳入评估,但不在列表单独展示
input.setCustomValidity(
rules.len(v) && rules.lower(v) && rules.upper(v) &&
rules.digit(v) && rules.symbol(v) && rules.space(v) &&
rules.repeat(v) && rules.sequence(v) && rules.ascii(v)
? ''
: '密码不符合复杂度要求'
);
}
input.addEventListener('input', updateUI);
updateUI();
})();
</script>
说明:
- pattern 使用了前瞻实现基本复杂度校验,但不同浏览器对正则特性的支持可能略有差异,因此用 JS 辅助实时校验,并始终以服务端校验为准。
- 为与后端一致,JS 同步检查了 ASCII、空白、重复、序列等规则。
注意事项
- 不要在后端对密码进行 trim 或大小写转换;保持用户原始输入进行校验与哈希。
- 仅依赖前端校验不安全。必须保留服务端校验作为最终判定。
- 存储密码应使用 password_hash(PASSWORD_DEFAULT),验证用 password_verify;不要自行设计哈希算法或存储明文。
- 若业务允许非ASCII密码(提升可记忆度与熵),可将 ascii_only 设为 false,但需确保数据库/显示层完整支持UTF-8并避免归一化问题。
- 建议引入服务端的“已泄露密码”检查(例如采用 k-匿名 HIBP API 的前缀查询方式),但请注意网络超时与隐私保护;本示例未直接调用外部服务。
- 错误提示建议与速率限制(rate limit)结合,防止枚举与暴力尝试。
- 提交表单时,确保全程HTTPS,防止传输中被窃听或篡改。
- 如加入“确认密码”字段,比较时直接使用严格相等(===),无需做时序防护,但仍需后端校验一致性。
