PHP 不能在 PDO 查询中使用散列密码

Question

我目前是一名 3 年级的网络开发学生，对于一个学校项目，我们必须使用 PDO 和哈希构建一个具有更改密码功能的网站，但是我遇到了一个我自己无法解决的问题，我在 google 和 stackoverflow 上也没有发现任何类似的问题。

我们必须在数据库中存储 2 个密码，旧密码(即用户最后一次使用的密码)；和他们当前的密码(将用于登录。)

所有密码都存储在标准的 PHP 哈希中(password_hash() 方法)

更改用户密码时，我必须从数据库中获取当前密码(用于登录的密码)，并将其移动到oldpassword(最后使用的密码)列，同时将新的散列密码放入数据库中。

问题是:我似乎无法在 PDO 查询中使用散列密码，我确实需要指出我以前从未使用过 PDO，但在谷歌搜索了一下之后我不要认为我的查询有错误，而是传递给该查询的数据有错误。

这是我从数据库中获取所有当前数据的地方

/*prepare and execute a query*/
$sqlStatement = $this->db->prepare("SELECT username, password, oldpassword FROM users WHERE username = :username");
$sqlStatement->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement->execute();

/*Fetch the query results*/
$values = $sqlStatement->fetch(PDO::FETCH_ASSOC);

这是我尝试使用 PDO SQL 查询将数据存储到数据库中的地方

/*Create variables to use in querys*/
$queryPassword = password_hash($password, PASSWORD_DEFAULT);

/*Update the passwords*/
$sqlStatement2 = $this->db->prepare("UPDATE password, oldPassword VALUES (:password, :oldpassword)");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->execute();

$password 和 $username 是从表单传递到函数以更改用户密码的变量。

public function updateUserPasswords($username, $password){

我觉得奇怪的是:如果我对 $values["password"] 进行 var_dump，我会得到以下数据:
string(60) "$2y$10$BBCpJxgPa8K.iw9ZporxzuW2Lt478RPUV/JFvKRHKzJhIwGhd1tpa"

我的查询错误为我提供了以下数据:
$2y$10$

就好像只有哈希被发送到查询。

==编辑==

发送到浏览器的 SQL 错误是:

Uncaught exception 'PDOException' with message 'SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'VALUES ('$2y$10$AC.aMG/gNV9zwGB/v/g7keW9jsZ80kuejrSh693DPuhOYChFxA6wu', '$2y$10$' at line 1' in /srv/jip/www/www.jip.nl/classes/user.class.php:92 Stack trace: #0 /srv/jip/www/www.jip.nl/classes/user.class.php(92): PDOStatement->execute() #1 /srv/jip/www/www.jip.nl/pages/first_login.php(26): User->updateUserPasswords('username', 'password') #2 {main} thrown in /srv/jip/www/www.jip.nl/classes/user.class.php on line 92

Answer 1

不要使用散列密码检索数据，因为 password_hash()每当使用它时都会生成一个具有不同盐的新散列

仅使用用户名检索记录，然后使用 password_verify()验证密码

编辑

您的更新查询引用了列，但没有引用表，并且没有 WHERE 子句:

$sqlStatement2 = $this->db->prepare("UPDATE users SET password=:password, oldPassword=:oldpassword WHERE username = :username");
$sqlStatement2->bindParam(":password", $queryPassword, PDO::PARAM_STR);
$sqlStatement2->bindParam(":oldpassword", $values["password"] , PDO::PARAM_STR);
$sqlStatement2->bindParam(":username", $username, PDO::PARAM_STR);
$sqlStatement2->execute();

绑定(bind)适当的值