gpt4 book ai didi

php - 尝试散列密码时将空值输入到数据库中

转载 作者:行者123 更新时间:2023-12-03 02:40:51 24 4
gpt4 key购买 nike

我过去在项目中使用过少量 PHP,但是我正在尝试一些新的东西来尝试散列密码。

在一个单独的页面上有一个 Web 表单,在提交时重定向到 checkRegistration.php 表单,然后该表单连接到数据库,获取用户值,验证它们并将它们输入到各自的列中。

到目前为止,除了由password_hash函数传递的值被输入为“0”或空之外,所有正在传递的值都输入正确。我认为因为它是 0,所以它没有被正确处理,并且想知道我做错了什么。

<?php
$con = mysqli_connect("127.0.0.1","root","","projectdatabase");


if (mysqli_connect_errno())
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}

$password_user_input = $_POST['password'];
$options = array('cost' => 10);


$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','password_hash($password_user_input, PASSWORD_BCRYPT, $options)','$_POST[email]','$_POST[number]')";

if (!mysqli_query($con,$sql))
{
die('Error: ' . mysqli_error($con));
}
header("location:login.php");

mysqli_close($con);

?>

最佳答案

您没有正确使用 password_hash() 函数,并且无法在 VALUES 中传递函数。

您将会或应该收到一个错误,告诉您它是一个未定义的函数,或者密码列将包含 password_hash(hashed_pa​​ssword_string, PASSWORD_BCRYPT, Array) 作为字符串。这是我测试时收到的两个结果。

这是您需要执行的操作。

您需要预先定义变量并将其传递给函数。

$password_user_input = $_POST['password'];
$options = array('cost' => 10);

$pass = password_hash($password_user_input, PASSWORD_BCRYPT, $options);

$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','$pass','$_POST[email]','$_POST[number]')";
<小时/>

但是,使用此方法会让您打开 SQL injection

使用prepared statements ,或PDO with prepared statements它们更安全

<小时/>

这是从 ircmaxell 的答案 https://stackoverflow.com/a/29778421/ 中提取的方法将 PDO 与准备好的语句结合使用。

只需使用一个库即可。严重地。它们的存在是有原因的。

不要自己做。如果您自己制作盐,您就错了。您应该使用一个可以为您处理该问题的库。

$dbh = new PDO(...);

$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);

登录时:

$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}

关于php - 尝试散列密码时将空值输入到数据库中,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29995498/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com