个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
26
4
我有一个奇怪的问题。我将发布两段代码,希望能阐明我的问题。以下代码根据用户输入的密码创建哈希,我使用的是 hmac 和 bcrypt:
if(isset($_POST['username'])){
$username = preg_replace('#[^a-z0-9]#i', '', $_POST['username']);
$email1 = strip_tags($_POST['email1']);
$email2 = strip_tags($_POST['email2']);
$pass1 = strip_tags($_POST['pass1']);
$pass2 = strip_tags($_POST['pass2']);
// make sure no fields are blank /////
if(trim($username) == "" || trim($email1) == "" || trim($pass1) == "" || trim($pass2) == ""){
echo "Error: All fields are required. Please press back in your browser and try again.";
$db = null;
exit();
}
/// Make sure both email fields match /////
if($email1 != $email2){
echo "Your email fields do not match. Press back and try again";
exit();
}
//// Make sure both password fields match ////
else if($pass1 != $pass2){
echo "Your password fields do not match. Press back and try again";
exit();
}
//// create the hmac /////
$hmac = hash_hmac('sha512', $pass1, file_get_contents('my/path/to/key.txt'));
//// create random bytes for salt ////
$bytes = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM);
//// Create salt and replace + with . ////
$salt = strtr(base64_encode($bytes), '+', '.');
//// make sure our bcrypt hash is 22 characters which is the required length ////
$salt = substr($salt, 0, 22);
//// This is the hashed password to store in the db ////
$bcrypt = crypt($hmac, '$2y$12$' . $salt);
echo $bcrypt;
这段代码工作得很好,并创建了一个看起来像这样的散列:
$2y$12$Oysi/5oZjF4vlUYx4PvgJ.GSpAQb7njNzSTUnEy/QOFzPxqRpHFV6
我遇到的问题是在执行一些错误处理然后插入数据后,散列密码被切断。只是想让你知道我存储它的字段最初设置为 VARCHAR(255),我什至将它更改为 TEXT,但它仍然被切断。下面是我刚刚输出上面密码的其余代码:
//// Create token for activation script ////
$token = md5($bcrypt);
//// query to check if email is in the db already ////
$stmt = $db->prepare("SELECT email FROM members WHERE email=:email1 LIMIT 1");
$stmt->bindValue(':email1',$email1,PDO::PARAM_STR);
try{
$stmt->execute();
$count = $stmt->rowCount();
}
catch(PDOException $e){
echo $e->getMessage();
$db = null;
exit();
}
//// query to check if the username is in the db already ////
$unameSQL = $db->prepare("SELECT username FROM members WHERE username=:username LIMIT 1");
$unameSQL->bindValue('username',$username,PDO::PARAM_STR);
try{
$unameSQL->execute();
$unCount = $unameSQL->rowCount();
}
catch(PDOException $e){
echo $e->getMessage();
$db = null;
exit();
}
///Check if email is in the db already ////
if($count > 0){
echo "Sorry, that email is already in use in the system";
$db = null;
exit();
}
//// Check if username is in the db already ////
if($unCount > 0){
echo "Sorry, that username is already in use in the system";
$db = null;
exit();
}
try{
$db->beginTransaction();
$ipaddress = getenv('REMOTE_ADDR');
$stmt2 = $db->prepare("INSERT INTO members (username, email, password, signup_date, ipaddress) VALUES (:username, :email1, :bcrypt, now(), :ipaddress)");
$stmt2->bindParam(':username', $username, PDO::PARAM_STR);
$stmt2->bindParam(':email1',$email1,PDO::PARAM_STR);
$stmt2->bindParam(':bcrypt',$bcrypt,PDO::PARAM_STR);
$stmt2->bindParam(':ipaddress',$ipaddress,PDO::PARAM_INT);
$stmt2->execute();
/// Get the last id inserted to the db which is now this users id for activation and member folder creation ////
$lastId = $db->lastInsertId();
$stmt3 = $db->prepare("INSERT INTO activate (user, token) VALUES ('$lastId', :token)");
$stmt3->bindValue(':token',$token,PDO::PARAM_STR);
$stmt3->execute();
//// Send email activation to the new user ////
$from = "From: Auto Resposder @ GotCode <admin@gotcode.org>";
$subject = "IMPORTANT: Activate your gotCode account";
$link = 'http://www.gotcode.org/activate.php?user='.$lastId.'&token='.$token.'';
//// Start Email Body ////
$message = "
Thanks for registering an account at gotCode.org! Were glad you decided to join us in this wacky adventure.
Theres just one last step to set up your account. Please click the link below to confirm your identity and get started.
If the link below is not active please copy and paste it into your browser address bar. See you on the site!
$link
";
//// Set headers ////
$headers = 'MIME-Version: 1.0' . "rn";
$headers .= "Content-type: textrn";
$headers .= "From: $fromrn";
/// Send the email now ////
mail($email1, $subject, $message, $headers, '-f noreply@mywebsite.org');
$db->commit();
echo "Thanks for joining! Check your email in a few moments to activate your account so that you may log in. See you on the site!<br />$bcrypt<br />$hmac<br />$salt<br />$token";
exit();
$db = null;
exit();
}
catch(PDOException $e){
$db->rollBack();
echo $e->getMessage();
$db = null;
exit();
}
}
代码的其余部分在将数据插入数据库以及发送我的电子邮件激活时同样有效。问题是现在哈希密码存储在数据库中,如下所示:
$2hm7KFNCFyfM
我真的很难弄清楚为什么当我只是回显散列密码时它是一个很好的长散列字符串,正如预期的那样,但在错误检查并插入到数据库之后它被切断了。也许多一双眼睛可以发现我的错误?非常感谢!
最佳答案
好吧...要解决此问题,我只需将我的 php 版本从 5.2 升级即可。
更具体地说明问题是什么:对于 PHP < 5.3 当使用河豚算法时应该使用
$2a$
大于 PHP 5.2 使用
$2y$
换句话说,如果不更新我的 php 版本,解决此问题的方法是更改此行:
$bcrypt = crypt($hmac, '$2y$12$' . $salt);
对此:
$bcrypt = crypt($hmac, '$2a$12$' . $salt);
以防万一有人遇到同样的问题:)
关于php - 哈希字符串在插入数据库时被截断,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/15795406/
26
4
0
如何使用 SPListCollection.Add(String, String, String, String, Int32, String, SPListTemplate.QuickLaunchO
我刚刚开始使用 C++ 并且对 C# 有一些经验,所以我有一些一般的编程经验。然而,似乎我马上就被击落了。我试过在谷歌上寻找,以免浪费任何人的时间,但没有结果。 int main(int argc,
这个问题已经有答案了: In Java 8 how do I transform a Map to another Map using a lambda? (8 个回答) Convert a Map>
我正在使用 node + typescript 和集成的 swagger 进行 API 调用。我 Swagger 提出以下要求 http://localhost:3033/employees/sear
我是 C++ 容器模板的新手。我收集了一些记录。每条记录都有一个唯一的名称,以及一个字段/值对列表。将按名称访问记录。字段/值对的顺序很重要。因此我设计如下: typedef string
我需要这两种方法,但j2me没有,我找到了一个replaceall();但这是 replaceall(string,string,string); 第二个方法是SringBuffer但在j2me中它没
If string is an alias of String in the .net framework为什么会发生这种情况,我应该如何解释它: type JustAString = string
我有两个列表(或字符串):一个大,另一个小。 我想检查较大的(A)是否包含小的(B)。 我的期望如下: 案例 1. B 是 A 的子集 A = [1,2,3] B = [1,2] contains(A
我有一个似乎无法解决的小问题。 这里...我有一个像这样创建的输入... var input = $(''); 如果我这样做......一切都很好 $(this).append(input); 如果我
我有以下代码片段 string[] lines = objects.Split(new string[] { "\r\n", "\n" }, StringSplitOptions.No
这可能真的很简单,但我已经坚持了一段时间了。 我正在尝试输出一个字符串,然后输出一个带有两位小数的 double ,后跟另一个字符串,这是我的代码。 System.out.printf("成本:%.2
以下是 Cloud Firestore 列表查询中的示例之一 citiesRef.where("state", ">=", "CA").where("state", "= 字符串,我们在Stack O
我正在尝试检查一个字符串是否包含在另一个字符串中。后面的代码非常简单。我怎样才能在 jquery 中做到这一点? function deleteRow(locName, locID) { if
这个问题在这里已经有了答案: How to implement big int in C++ (14 个答案) 关闭 9 年前。 我有 2 个字符串,都只包含数字。这些数字大于 uint64_t 的
我有一个带有自定义转换器的 Dozer 映射: com.xyz.Customer com.xyz.CustomerDAO customerName
这个问题在这里已经有了答案: How do I compare strings in Java? (23 个回答) 关闭 6 年前。 我想了解字符串池的工作原理以及一个字符串等于另一个字符串的规则是
我已阅读 this问题和其他一些问题。但它们与我的问题有些无关 对于 UILabel 如果你不指定 ? 或 ! 你会得到这样的错误: @IBOutlet property has non-option
这两种方法中哪一种在理论上更快,为什么? (指向字符串的指针必须是常量。) destination[count] 和 *destination++ 之间的确切区别是什么? destination[co
This question already has answers here: Closed 11 years ago. Possible Duplicates: Is String.Format a
我有一个Stream一个文件的,现在我想将相同的单词组合成 Map这很重要,这个词在 Stream 中出现的频率. 我知道我必须使用 collect(Collectors.groupingBy(..)
我是一名优秀的程序员,十分优秀!