【PHP8.x】CRYPT_MD5定数の使い方

CRYPT_MD5定数の使い方について、初心者にもわかりやすく解説します。

作成日: 2025年09月11日更新日: 2026年03月10日

基本的な使い方

CRYPT_MD5定数は、PHPのcrypt()関数において、文字列をMD5アルゴリズムでハッシュ化する形式を指定するために使用される定数です。crypt()関数は、与えられた文字列とソルト（ハッシュ化の多様性を高めるためのランダムなデータ）から一方向のハッシュ値を生成しますが、その際に利用するハッシュアルゴリズムをこの定数で指示します。具体的には、この定数をcrypt()関数の第2引数として渡すことで、MD5アルゴリズムに基づくハッシュ処理が実行されます。

MD5は、元のデータがわずかでも変わるとハッシュ値が大きく変化する性質を持つため、データの整合性チェックなどに広く用いられてきました。しかし、現代のセキュリティ基準においては、MD5アルゴリズムは安全性に問題があるとされています。特に、異なる入力から同じハッシュ値が生成されてしまう「衝突（collision）」のリスクが指摘されており、パスワードのハッシュ化など、セキュリティが強く求められる用途での使用は推奨されていません。

そのため、現在のPHPアプリケーションでパスワードなどの機密情報をハッシュ化する場合には、password_hash()関数とその関連定数（PASSWORD_DEFAULTやPASSWORD_BCRYPTなど）を使用することが強く推奨されます。これらの関数や定数を使用することで、より強力なハッシュアルゴリズムが採用され、セキュリティ要件を満たす安全なハッシュ値を生成することができます。CRYPT_MD5定数は、MD5アルゴリズムでのハッシュ化を指定する際に機能しますが、新規のプロジェクトやセキュリティ重視の場面では、代替手段の検討が重要です。

構文(syntax)


1var_dump(CRYPT_MD5);

引数(parameters)

引数なし

引数はありません

戻り値(return)

戻り値なし

戻り値はありません

サンプルコード

PHP crypt MD5 ハッシュ処理を確認する


1<?php
2
3/**
4 * CRYPT_MD5は、PHPのcrypt()関数がMD5ベースのハッシュアルゴリズムをサポートしているかを示す定数です。
5 * サポートされている場合は真 (true / 1) を、サポートされていない場合は偽 (false / 0) を返します。
6 * この定数自体がハッシュ処理を行うわけではなく、機能の有無を示します。
7 */
8
9// MD5ベースのcrypt()ハッシュがシステムでサポートされているか確認します。
10if (CRYPT_MD5) {
11    echo "システムはMD5ベースのcrypt()ハッシュをサポートしています。\n";
12
13    $password = "mySecurePassword123";
14
15    // MD5アルゴリズムでハッシュ化する場合、ソルトは "$1$" で始まる必要があります。
16    // ソルト文字列はランダムな8文字（推奨）を含めるべきです。
17    // 本番環境では、password_hash()関数を使用し、より強力なアルゴリズム（例: BCRYPT, ARGON2）を使うことが強く推奨されます。
18    $md5_salt = '$1$randomSalt$'; // 例として固定ソルトを使用しますが、実際には毎回ランダムに生成するべきです。
19
20    // crypt()関数を使用してパスワードをMD5アルゴリズムでハッシュ化します。
21    // crypt()関数の第2引数（ソルト）がアルゴリズムの種類を指定します。
22    $hashed_password = crypt($password, $md5_salt);
23
24    echo "元のパスワード:  " . $password . "\n";
25    echo "使用したMD5ソルト: " . $md5_salt . "\n";
26    echo "ハッシュ化されたパスワード: " . $hashed_password . "\n\n";
27
28    // ハッシュ化されたパスワードを検証します。
29    // crypt()関数にハッシュ化されたパスワードをソルトとして渡すと、
30    // 内部でソルトが抽出され、入力パスワードがそのソルトで再度ハッシュ化されます。
31    // hash_equals()はタイミング攻撃を防ぐために文字列の比較に推奨されます。
32    if (hash_equals($hashed_password, crypt($password, $hashed_password))) {
33        echo "パスワードの検証に成功しました。\n";
34    } else {
35        echo "パスワードの検証に失敗しました。\n";
36    }
37
38} else {
39    echo "システムはMD5ベースのcrypt()ハッシュをサポートしていません。\n";
40    echo "代わりに、より強力なpassword_hash()関数とPASSWORD_BCRYPTまたはPASSWORD_ARGON2アルゴリズムの使用を検討してください。\n";
41}

PHPのCRYPT_MD5は、crypt()関数がMD5ベースのハッシュアルゴリズムをサポートしているかどうかを示す定数です。この定数自体は引数を取らず、戻り値もありませんが、システムがMD5ハッシュをサポートしていれば真（true）の値を、サポートしていなければ偽（false）の値を持つことで、機能の有無を表します。

サンプルコードでは、まずこのCRYPT_MD5定数を使って、現在のシステムがMD5ベースのcrypt()ハッシュに対応しているかを確認しています。サポートされている場合、crypt()関数を用いて「mySecurePassword123」という文字列をMD5でハッシュ化する手順を示します。crypt()関数でMD5アルゴリズムを指定するには、ソルト文字列が「$1$」で始まる必要があります。ソルトはパスワードハッシュの安全性を高めるためのランダムな文字列です。

ハッシュ化されたパスワードは、hash_equals()関数を使って元のパスワードで検証されます。hash_equals()は、タイミング攻撃と呼ばれるセキュリティ上の問題を回避しつつ、安全に文字列を比較するために推奨される関数です。なお、MD5アルゴリズムは現在ではセキュリティ上の脆弱性が指摘されているため、本番環境でパスワードをハッシュ化する際は、より強力なpassword_hash()関数とPASSWORD_BCRYPTまたはPASSWORD_ARGON2アルゴリズムを使用することが強く推奨されます。このサンプルは、CRYPT_MD5の動作理解を目的としたものです。

CRYPT_MD5は、PHPのcrypt()関数がMD5ベースのハッシュアルゴリズムをサポートしているかを示す定数であり、ハッシュ処理自体は行いません。サンプルコードはMD5の使用例ですが、MD5は現代のセキュリティ基準では脆弱ですので、本番環境でのパスワードハッシュには決して使用しないでください。 代わりに、password_hash()関数とPASSWORD_BCRYPTやPASSWORD_ARGON2のような、より強力なアルゴリズムを常に利用することが強く推奨されます。crypt()関数でMD5を使用する際は、ソルトを毎回ランダムに生成し、$1$で始まる形式である必要があります。また、ハッシュ化されたパスワードの検証時には、タイミング攻撃を防ぐためにhash_equals()関数を使用することが重要です。