gpt4 book ai didi

PHP crypt()、更新和比较

转载 作者:行者123 更新时间:2023-11-30 22:49:11 27 4
gpt4 key购买 nike

我正在为我的网站创建我的更改密码网站,我的代码有一些问题......

出于某种原因,我很难在加密后在数据库中比较和替换密码。

我想要这个:

获取当前用户密码并将其与 $oldpass 的输入值进行比较,或者将 $oldpass 的输入值与当前用户存储在数据库中的密码进行比较。

检查 $oldpass 和数据库中的密码是否匹配后,如果它们匹配,则获取 $newpass 和 $repeatpass 的输入值,比较它们,如果它们匹配,则 crypt() $newpass 并更新数据库新密码。

我什至不确定密码是否加密。

同样在代码中,我将 $oldpass 与 $_SESSION['password'] 进行比较,后者不是来自数据库的密码,我不知道如何从数据库中调用密码。

    <?php

include 'check_login_status.php';

$u="";
$oldpass=md5($_POST['oldpass']);
//stripping both strings of white spaces
$newpass = preg_replace('#[^a-z0-9]#i', '', $_POST['newpass']);
$repeatpass = preg_replace('#[^a-z0-9]#i', '', $_POST['repeatpass']);

//get the username from the header
if(isset($_GET["u"])){
$u = preg_replace('#[^a-z0-9]#i', '', $_GET['u']);
} else {
header("location: compare_pass.php?u=".$_SESSION["username"]);
exit();
}

// Select the member from the users table
$sql = "SELECT password FROM users WHERE username='$u' LIMIT 1";
mysqli_query($db_conx, $sql);
$user_query = mysqli_query($db_conx, $sql);
// Now make sure that user exists in the table
$numrows = mysqli_num_rows($user_query);
if($numrows < 1){
echo "That user does not exist or is not yet activated, press back";
exit();
}

if ($oldpass == $_SESSION['password']) {
echo "session and oldpass are matching";
} else {
echo "Session and oldpass do not match!";
}

$isOwner = "no";
//check if user is logged in owner of account
if($u == $log_username && $user_ok == true){
$isOwner = "yes";
}
$newpass = password_hash($newpass, PASSWORD_BCRYPT);

if (isset($_POST["submit"]) && ($isOwner == "yes") && ($user_ok == true) && ($newpass == $repeatpass)) {
$newpass = password_hash($newpass, PASSWORD_BCRYPT);
$sql = "UPDATE users SET `password`='$newpass' WHERE username='$u' LIMIT 1";
}

if (mysqli_query($db_conx, $sql)) {
echo "Record updated successfully";

} else {
echo "Error updating record: " . mysqli_error($db_conx);
}

?>

<h3>Create new password</h3>
<form action="" method="post">
<div>Current Password</div>
<input type="text" class="form-control" id="password" name="oldpass" ><?php echo "{$oldpass}"; ?>
<div>New Password</div>
<input type="text" class="form-control" id="password" name="newpass" ><?php echo "{$newpass}"; ?>
<div>Repeat Password</div>
<input type="text" class="form-control" id="password" name="repeatpass" ><?php echo "{$repeatpass}"; ?>
<br /><br />
<input type="submit" name="submit" value="Submit">
<p id="status" ></p>
</form><?php echo "{$oldpass}, {$_SESSION['password']}"; ?>


<pre>
<?php
var_dump($_SESSION);
var_dump($oldpass);

var_dump($newpass);
var_dump($repeatpass);
?>
</pre>

最佳答案

有一个更简单的方法来解决这个问题:

// Hash a new password for storing in the database.
// The function automatically generates a cryptographically safe salt.
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);

// Check if the hash of the entered login password, matches the stored hash.
// The salt and the cost factor will be extracted from $existingHashFromDb.
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

MD5 算法不是保护密码的好选择,因为它的设计速度很快,而且很容易被暴力破解。

在 session 中存储密码/散列不是很有用,如果你知道它是同一个用户,你知道他是否已经登录,只需在 session 中存储一个指示器,如 $_SESSION['is_logged_in'] 或只是用户名 $_SESSION['username'].

关于PHP crypt()、更新和比较,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/28627803/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com