个人中心
文章发布
退出
作者热门文章
- android - RelativeLayout 背景可绘制重叠内容
- android - 如何链接 cpufeatures lib 以获取 native android 库?
- java - OnItemClickListener 不起作用,但 OnLongItemClickListener 在自定义 ListView 中起作用
- java - Android 文件转字符串
31
4
我的注册脚本接受用户密码,然后使用 PHP 的 password_hash 函数对密码进行加密,然后将其放入数据库中。当我使用刚创建的用户登录时,出现检查密码是否相同的错误。就我而言,他们不是。我在登录脚本中调用 password_verify 函数时做错了什么?
注册
if($_SERVER["REQUEST_METHOD"] == "POST"){
function secure($data){
$data = trim($data);
$data = stripslashes($data);
$data = htmlspecialchars($data);
return($data);
}
$p_num = secure($_POST["p_number"]);
$first_name = secure($_POST["first_name"]);
$last_name = secure($_POST["last_name"]);
$email = secure($_POST["email"]);
$password = secure($_POST["pw"]);
$verify_password = secure($_POST["pw_verify"]);
$program = secure($_POST["program"]);
$role = secure($_POST["role"]);
$logged_in = 0;
$registered = 0;
$image = "../images/profile_placeholder.png";
if($password != $verify_password){
echo "Nope. Passwords";
}
else{
$registered = 1;
$password = password_hash($password, PASSWORD_DEFAULT);
$insert = "INSERT INTO `$user_table`(`user_id`, `first_name`, `last_name`, `password`, `image`, `email`, `program`, `role`, `logged_in`, `registered`) VALUES('" .$p_num ."', '" .$first_name ."', '" .$last_name ."', '" .$password ."', '" .$image ."', '" .$email ."', '" .$program ."', '" .$role ."', '" .$logged_in ."', '" .$registered ."')";
$query = mysqli_query($connect, $insert);
echo "Success!";
}
}
登录
if($_SERVER["REQUEST_METHOD"] == "POST"){
$p_num = $_POST["username"];
$pwd = $_POST["password"];
$query = "SELECT * FROM `$user_table` WHERE `user_id` = '$p_num'";
$result = mysqli_query($connect, $query);
while($row = mysqli_fetch_assoc($result)){
$user_id = "{$row['user_id']}";
$first_name = "{$row['first_name']}";
$last_name = "{$row['last_name']}";
$user_name = $first_name ." " .$last_name;
$password = "{$row['password']}";
$image = "{$row['image']}";
$email = "{$row['email']}";
$program = "{$row['program']}";
$role = "{$row['role']}";
$status = "{$row['logged_in']}";
$registered = "{$row['registered']}";
if(($user_id == $p_num) && (password_verify($pwd, $password))){
$_SESSION["id"] = $user_id;
$_SESSION["user"] = $user_name;
$_SESSION["program"] = $program;
$_SESSION["pass"] = $password;
$_SESSION["image"] = $image;
$_SESSION["email"] = $email;
$_SESSION["role"] = $role;
$_SESSION["status"] = $status;
$_SESSION["registered"] = $registered;
$loggedin = "UPDATE `$user_table` SET `logged_in` = 1 WHERE `user_id` = '$user_id'";
}
var_dump($pwd);
var_dump($password);
}
这是我执行 var_dump 时得到的结果:
string(1) "1" string(16) "$2y$10$0aysCso3b"
很明显,密码没有匹配在一起。因此,在注册脚本中,密码被散列并发送到数据库。然后,当用户登录时,登录脚本会查看用户输入的登录密码,然后使用 password_verify 将其与数据库中的散列密码进行核对。然而,散列密码不接受未散列密码作为匹配项。我不明白的是,为什么?
最佳答案
这是我用于 password_hash 和 password_verify 的内容。按照编写的方式进行尝试,一旦成功,您就可以开始添加其余代码。
修改表名和列名以适应。
注意:这是一种基本的插入方法。我建议你使用 prepared statements相反。
旁注:密码列需要足够长以容纳散列 VARCHAR(255)。请参阅“脚注”。
插入文件
<?php
$DB_HOST = 'xxx';
$DB_USER = 'xxx';
$DB_PASS = 'xxx';
$DB_NAME = 'xxx';
$conn = new mysqli($DB_HOST, $DB_USER, $DB_PASS, $DB_NAME);
if($conn->connect_errno > 0) {
die('Connection failed [' . $conn->connect_error . ']');
}
$password = "rasmuslerdorf";
$first_name = "john";
$password = password_hash($password, PASSWORD_DEFAULT);
$sql = "INSERT INTO users (`name`, `password`) VALUES ('" .$first_name ."', '" .$password ."')";
$query = mysqli_query($conn, $sql);
if($query)
{
echo "Success!";
}
else{
// echo "Error";
die('There was an error running the query [' . $conn->error . ']');
}
登录文件
<?php
// session_start();
$DB_HOST = 'xxx';
$DB_USER = 'xxx';
$DB_PASS = 'xxx';
$DB_NAME = 'xxx';
$conn = new mysqli($DB_HOST, $DB_USER, $DB_PASS, $DB_NAME);
if($conn->connect_errno > 0) {
die('Connection failed [' . $conn->connect_error . ']');
}
$pwd = "rasmuslerdorf";
$first_name = "john";
//$sql = "SELECT * FROM users WHERE id = 1";
$sql = "SELECT * FROM users WHERE name='$first_name'";
$result = $conn->query($sql);
if ($result->num_rows === 1) {
$row = $result->fetch_array(MYSQLI_ASSOC);
if (password_verify($pwd, $row['password'])) {
//Password matches, so create the session
// $_SESSION['user'] = $row['user_id'];
// header("Location: http://www.example.com/logged_in.php");
echo "Match";
}else{
echo "The username or password do not match";
}
}
mysqli_close($conn);
脚注:
密码列应该足够长以容纳散列。 72 长是散列产生的字符长度,但手册建议 255。
引用:
"Use the bcrypt algorithm (default as of PHP 5.5.0). Note that this constant is designed to change over time as new and stronger algorithms are added to PHP. For that reason, the length of the result from using this identifier can change over time. Therefore, it is recommended to store the result in a database column that can expand beyond 60 characters (255 characters would be a good choice)."
关于PHP password_hash(), password_verify(),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26536293/
31
4
0
我正在使用 PHP 5.5+ password_hash() 函数在将密码存储到数据库之前对其进行哈希处理。到目前为止一切顺利。 我有点不确定的是,是否需要对从表单发送到我的 PHP 脚本的密码进行预
关闭。这个问题需要debugging details .它目前不接受答案。 编辑问题以包含 desired behavior, a specific problem or error, and th
我一直在阅读有关密码哈希函数的内容,据说:使用盐使黑客的工作更加困难,使用高度成本算法等我找到了这个 password_hash 函数但是......它返回这个(字母是一个例子来解释) AAAACCC
根据(相对)新的 PHP 文档: password_hash函数使用随机盐(我们不应该担心.. O_O),所以如果我理解正确,盐必须存储在某个地方,否则用户在注册到网站后将无法登录(不同的盐=>不同的
这个问题在这里已经有了答案: Using PHP 5.5's password_hash and password_verify function (4 个答案) 关闭 7 年前。 我正在考虑使用
这个问题在这里已经有了答案: password_hash returns different value every time (1 个回答) 关闭 4 年前。 我试图在将密码存储到用户数据库之前对
如果我有两个使用 password_hash 创建的密码哈希功能,我如何判断它们是否来自相同的基本密码?我知道它每次都使用不同的盐。我没有纯文本。 例如: $2y$10$M6CnjqaxuUKNhg8
关闭。这个问题需要details or clarity .它目前不接受答案。 想改进这个问题吗? 通过 editing this post 添加细节并澄清问题. 关闭 6 年前。 Improve t
我知道 PHP 函数,password_hash 在一个字符串中输出算法、成本、salt 和哈希,因此 password_verify 可以检查密码。 来自 PHP page 的示例输出: $2y$1
我的注册脚本接受用户密码,然后使用 PHP 的 password_hash 函数对密码进行加密,然后将其放入数据库中。当我使用刚创建的用户登录时,出现检查密码是否相同的错误。就我而言,他们不是。我在登
阅读有关新 password_hash 的文档PHP 5.5 的函数,我想知道默认算法是什么: password_hash("rasmuslerdorf", PASSWORD_DEFAULT); 关于
我正在制作一个登录系统,我想对密码进行哈希处理以使其更安全,但每次都会返回不同的哈希值,甚至无法使用 password_verify() 进行验证,这是我的代码: $password = passwo
这个问题在这里已经有了答案: Secure hash and salt for PHP passwords (14 个答案) 关闭 8 年前。 我想知道 password_hash("customp
我现在正在本地主机上运行 php 版本 5.4.16,同时我正在开发我的网站。我想使用 password_hash(),但我一直收到此错误: Fatal error: Call to undefine
PHP password_hash() 函数允许的最大成本是多少? $options = [ 'cost' => 18, ]; $res = password_ha
PHP password_hash() 函数允许的最大成本是多少? $options = [ 'cost' => 18, ]; $res = password_ha
我有 2 个具有不同代码的注册页面,但我希望它们返回相同的密码哈希值!或至少 Password_verify 接受的格式首先是: function _password_hash($password)
这个问题在这里已经有了答案: Implement password recovery best practice (12 个答案) 关闭 7 年前。 我目前正在使用 password_hash,这是
我正在使用 password_hash 函数来保护登录页面上的用户密码。但是,在注册页面上,我要求用户两次提示他的密码,但我无法比较两个哈希值,因为即使密码相同,它们也不同。 我应该将两个密码作为字符
我可以在 PHP 5.5 password_hash() 和 password_verify() 中使用的最大密码长度是多少? 最佳答案 好的,让我们来看看这个。 函数确实有密码长度限制。就像 PHP
我是一名优秀的程序员,十分优秀!