MD5和SHA256的Sum()返回结构体,需用sum.Sum(nil)获取字节切片并转十六进制;MD5不安全,应优先使用SHA256;大文件哈希须流式处理;字符串需正确转[]byte并注意UTF-8编码。
md5.Sum() 和 sha256.Sum() 返回值不是字符串,别直接打印
很多人调用 md5.Sum() 或 sha256.Sum() 后直接 fmt.Println(),结果看到类似 {[123 45 67 ...]} 的字节切片输出,误以为“没算对”。其实这两个函数返回的是带字段的结构体,哈希值存在 Sum().Sum 字段里,且是 []byte 类型,需要显式转成十六进制字符串。
- 正确做法是用
fmt.Sprintf("%x", sum.Sum(nil))或hex.EncodeToString(sum.Sum(nil)) -
sum.Sum(nil)中的nil表示不追加到已有切片,而是新建一个;传入非 nil 切片可复用底层数组(适合高频场景) - 注意:
Sum()方法本身不重置状态,如需重复计算,得用新实例或调用Reset()
crypto/md5 不适用于安全场景,生产环境优先选 sha256
md5 已被证实存在碰撞漏洞,RFC 6151 明确禁止其用于数字签名、密码存储等安全用途。Go 标准库仍保留它,主要是为了兼容旧协议(如 HTTP Digest 认证、某些校验和逻辑),但绝不该出现在新系统的鉴权或完整性校验中。
- 替代方案:用
crypto/sha256,输出长度 32 字节(256 位),抗碰撞性强 - 若需更长摘要(如 512 位),可用
crypto/sha512,但多数场景sha256足够 - 性能上,
sha256在现代 CPU 上比md5慢约 2–3 倍,但差距远小
于安全性收益
一次性哈希大文件?用 io.Copy() + hash.Hash.Write() 避免内存爆炸
别把整个文件读进内存再调 hash.Sum(),尤其处理 GB 级日志或镜像时。标准库的 hash.Hash 接口支持流式写入,配合 io.Copy() 可边读边算,内存占用恒定在几 KB。
file, _ := os.Open("large.zip")
defer file.Close()
h := sha256.New()
io.Copy(h, file) // 自动分块读取并 Write()
sum := h.Sum(nil)
fmt.Printf("%x\n", sum)
-
h实现了io.Writer,所以能直接传给io.Copy() - 如果文件可能损坏或需校验中途状态,可在
Copy后检查h.Size()是否等于预期字节数 - 注意:
os.Open()后必须defer file.Close(),否则句柄泄漏
计算字符串哈希时,别漏掉 []byte 转换和 UTF-8 编码细节
Go 字符串底层是 UTF-8 编码的只读字节序列,但初学者常误以为 md5.Sum([]byte("hello")) 和 md5.Sum([]byte("hello世界")) 是简单拼接——其实中文字符占多个字节,"世界" 对应 [228 184 150 229 165 189],不是单字节扩展。
立即学习“go语言免费学习笔记(深入)”;
- 始终用
[]byte(s)转换,不要用string([]byte)反向操作(会丢失原始字节) - 若输入来自用户表单或 API,确认编码为 UTF-8;若涉及 GBK 等旧编码,需先用
golang.org/x/text/encoding转换 - 测试时建议用已知哈希值的字符串(如 RFC 3174 的测试向量)交叉验证
