从那里检索时，PHP 在 SQL 数据库中生成的盐值不相等

Question

我有一个问题。当我从数据库中检索 SALT 值时，我的散列密码不等于我数据库中的密码。

注册.php

1. 生成随机盐以将其添加到密码末尾。
2. 哈希完整值。
3. 将用户名、散列密码和盐插入数据库。

while($row){
    $SALT = random_bytes(32);
    $SALT = bin2hex($SALT);

    $query = "SELECT 1 FROM usr_accounts WHERE SALT = :SALT";
    $query_params = array(':SALT' => $SALT);
    try{
        $stmt = $db->prepare($query);
        $result = $stmt->execute($query_params);
    } 
    catch(PDOException $ex){
        die("Failed to run query: " . $ex->getMessage());
    }
    $row = $stmt->fetch();
    if(empty($row)){
        break;
    }
}

for($hashnr = 0; $hashnr < 128; $hashnr++){
    $PASSWORD = hash('sha256', $_POST['PASSWORD'].$SALT);
}

$query = "INSERT INTO usr_accounts (USERNAME, PASSWORD, SALT, EMAIL) VALUES (:USERNAME, :PASSWORD, :SALT, :EMAIL)";
$query_params = array(':USERNAME' => $_POST['USERNAME'], ':PASSWORD' => $PASSWORD, ':SALT' => $SALT, ':EMAIL' => $_POST['EMAIL']);
try{
    $stmt = $db->prepare($query);
    $result = $stmt->execute($query_params);
}
catch(PDOException $ex)
{
    die("Failed to run query: " . $ex->getMessage());
}

登录.php

1. 从数据库中检索数据(salt)以将其添加到密码的末尾。
2. 哈希完整值。
3. 检查密码值是否相等。

$query = "SELECT ID, USERNAME, PASSWORD, SALT FROM usr_accounts WHERE USERNAME = :USERNAME";
$query_params = array(':USERNAME' => $_POST['USERNAME']);
try{
    $stmt = $db->prepare($query);
    $result = $stmt->execute($query_params);
}
catch(PDOException $ex){
    die("Failed to run query: " . $ex->getMessage());
}
$login_ok = false;

$row = $stmt->fetch();
if($row){
    for($hashnr = 0; $hashnr < 128; $hashnr++){
        $check_password = hash('sha256', $_POST['PASSWORD'].$row['SALT']);
    }
}

Answer 1

你应该使用 password_hash() .它为您处理盐并将其添加到散列密码中。然后使用 password_verify() 检查密码是否有效。

此外，您不需要在循环中散列密码。

for($hashnr = 0; $hashnr < 128; $hashnr++){
$PASSWORD = hash('sha256', $_POST['PASSWORD'].$SALT);
}

这只是调用 hash() 128 次，每次都得到相同的结果，并将其分配给 $PASSWORD

您的散列密码不相同的原因可能是字符编码问题。确保 PHP 和 SQL 都设置为使用相同的编码(如果由您决定，则使用 UTF8)。这是一篇很好的文章 here