php - 当我包含加密时，SQL 密码字段不起作用

Question

我仍在学习“PHP 和 SQL 傻瓜书第 4 版”。我现在遇到的问题是，如果我尝试使用正确的密码登录，我会被告知密码不正确，我通过 PHP Web 文件添加的所有记录都会发生这种情况。我通过 phpmyadmin 添加的记录工作正常(删除加密语句后)，并且在提供正确的密码后我可以访问登录页面。我怀疑问题出在加密上，因为 phpmyadmin 中的密码列包含所有内容的相同密文(“d41d8cd98f00b204e98009”)(除了通过 phpmyadmin 输入的记录，它没有任何加密)。我将包括我的代码中包含加密的部分，也许任何人都可以发现其中的任何错误。在检查数据库中的匹配之前对输入的密码进行加密的代码:

if($num > 0) //login name was found 
{
$sql = "SELECT loginName FROM Member 
WHERE loginName='$_POST[fusername]'
AND password=md5('$_POST[fpassword]')";
$result2 = mysqli_query($cxn,$sql) 
or die("Query died: fpassword");
$num2 = mysqli_num_rows($result2); 
if($num2 > 0) //password matches 
{
$_SESSION['auth']="yes"; 
$_SESSION['logname'] = $_POST['fusername'];
$sql = "INSERT INTO Login (loginName,loginTime)
VALUES ('$_SESSION[logname]',NOW())";
$result = mysqli_query($cxn,$sql)
or die("Query died: insert");
header("Location: New_memberpage.php");
}       

在将新注册用户的密码发送到数据库之前对其进行加密的代码:

else // Add new member to database
{
$sql = "INSERT INTO Member (loginName,createDate,
password,firstName,lastName,street,city,
state,zip,phone,fax,email) VALUES
('$loginName',NOW(),md5('$password'),
'$firstName','$lastName','$street','$city',
'$state','$zip','$phone','$fax','$email')";
mysqli_query($cxn,$sql); 
$_SESSION['auth']="yes"; 
$_SESSION['logname'] = $loginName;

我的挑战总结是，只有当我通过 phpmyadmin 添加时，用户名/密码登录方法才能正常工作。我想让它在我通过网站注册时起作用，为什么即使我输入了不同的密码，我数据库的密码列中的所有密文都是相同的？

Answer 1

d41d8cd98f00b204e9800998ecf8427e 是空字符串的 MD5 哈希值。所以这里似乎有两件事是错误的:

1. 密码未正确传递到您的 SQL 查询。它最终什么也没有散列。

2. 您的密码列的宽度不足以存储整个哈希值。

但更重要的是，您所遵循的教程存在一些问题:

• 它正在教你使用“mysql”扩展。 This extension is deprecated, and will not be available in future versions of PHP. “mysqli”和“PDO”扩展更可取，因为它们将来将继续可用，并且它们支持重要的安全功能，例如准备好的查询和参数占位符。

• 它似乎并没有教您引用传递到 MySQL 查询的值(或者它期望您依赖 magic_quotes，这更糟糕)。这可能会给您的应用程序带来严重的安全漏洞。

• 它指示您使用 md5() 作为密码哈希。这不是一种安全的密码存储方法；更好的方法是较新的 password_hash()/password_verify() 函数集。引用PHP's FAQ on password hashing了解更多信息。

我强烈建议您找到更新的引用文本。您正在使用的版本已经明显过时了。