Python使用随机散列种子,通过向您发送旨在冲突的密钥来防止攻击者对应用程序进行处理。请参阅原始漏洞披露。通过使用随机种子(在启动时设置一次)偏移哈希值,攻击者无法再预测哪些键会发生冲突。
您可以通过设置PYTHONHASHSEED
环境变量来设置固定种子或禁用功能;默认值为,random
但您可以将其设置为固定的正整数值,同时0
完全禁用该功能。
Python 2.7和3.2版本默认情况下禁用此功能(使用-R
开关或将PYTHONHASHSEED=random
其启用);默认在Python 3.3及更高版本中启用。
如果您依赖于Python集合中键的顺序,那么就不用了。Python使用哈希表来实现这些类型,它们的顺序@L_404_2@以及随机哈希种子。请注意,在Python 3.5及更低版本中,这也适用于字典。
:默认情况下,__hash__()
str,bytes和datetime对象的值使用不可预测的随机值“加盐”。尽管它们在单个Python进程中保持不变,但在重复调用Python之间是不可预测的。
这旨在提供保护,防止由于精心选择的输入而导致的拒绝服务,这些输入利用了dict插入的最坏情况的性能O(n ^ 2)复杂性。有关详细信息,请参见http://www.ocert.org/advisories/ocert-2011-003.html。
更改哈希值会影响字典,集合和其他映射的迭代顺序。Python从未保证过这种顺序(通常在32位和64位版本之间有所不同)。
另请参阅PYTHONHASHSEED
。
如果需要稳定的哈希实现,则可能需要查看hashlib
模块;这实现了加密哈希函数。该pybloom项目采用这种做法。
由于偏移量由前缀和后缀(分别为起始值和最终XORed值)组成,因此,不幸的是,您不能仅存储偏移量。从正面来看,这确实意味着攻击者也无法通过定时攻击轻松确定偏移量。