【PHP8.x】sodium_memcmp関数の使い方

sodium_memcmp関数は、2つの文字列（またはバイナリデータ）を安全に比較する関数です。この関数は、PHPのSodium拡張機能の一部として提供されており、主にセキュリティ上の目的で利用されます。一般的な文字列比較関数や演算子（例えば == や strcmp など）は、比較対象のデータが一致しない部分を見つけた時点で処理を終了するため、比較にかかる時間がデータの内容によって変動する場合があります。この時間の違いを利用して、攻撃者が秘密情報（パスワードのハッシュ値や暗号鍵など）を推測しようとする「タイミング攻撃」と呼ばれるセキュリティ上の脆弱性が存在します。

sodium_memcmp関数は、このようなタイミング攻撃を防ぐために設計されています。この関数は、比較対象となる2つのデータを、その内容が一致しているか否かに関わらず、常にデータ全体を検査します。これにより、比較処理にかかる時間が常に一定となり、外部から処理時間だけを見てデータの内容を推測することが極めて困難になります。

この関数は、主にパスワードのハッシュ値を検証する際や、メッセージ認証コード（MAC）を比較する際など、機密性の高いバイナリデータを比較する必要がある場面で利用することが強く推奨されます。2つの文字列を引数として受け取り、それらが完全に一致する場合は整数値の 0 を返します。一方、一致しない場合は 0 以外の値を返します。返り値は、両者が等しいか否かのみを判断するために使用し、従来の strcmp 関数のように辞書順での大小関係を示すものではない点に留意してください。セキュリティを重視するシステム開発において、この関数は重要な役割を果たします。

Copy
1<?php
2$string1 = 'some_secret_data';
3$string2 = 'some_other_data';
4$comparison_result = sodium_memcmp($string1, $string2);
5?>

string $string1, string $string2

• string $string1: 比較対象の1つ目の文字列
• string $string2: 比較対象の2つ目の文字列

int

二つのメモリ領域の内容を比較し、等しい場合は 0 を、等しくない場合は -1 を返します。