1

我正在使用以下功能。当我注册用户时,哈希似乎工作正常。当我尝试登录时,哈希不匹配。它有正确的散列,加上额外的散列。

有什么问题?

function salt($pass){
$salt = 'hello';
return hash('sha512', $pass.$salt);
}

function valid_credentials($user,$pass) {
$user = mysql_real_escape_string($user);
$pass = salt($pass);
$total = mysql_query("SELECT COUNT(`user_id`) FROM `users` WHERE `user_name` = '".$user."' AND `password` = '{$pass}' ");
return (mysql_result($total, 0) == '1' ) ? true : false;
}

function add_user($user, $pass) {
$user = mysql_real_escape_string(htmlentities($user));
$pass = salt($pass);
$time = now();
mysql_query("INSERT INTO `users` ( user_name, password, date_created ) VALUES ( '{$user}', '{$pass}', '{$time}' )");
}
4

2 回答 2

1

只需在将值插入 db 表之前和之后仔细检查返回的值。用修剪功能回应它。或使用 strcmp 使用生成的值检查插入到数据库中的值。

于 2012-07-14T06:21:05.193 回答
1

我认为在您的验证代码中这一行:

$total = mysql_query("SELECT COUNT(`user_id`) FROM `users` WHERE `user_name` = '".$user."' AND `password` = '{$pass}' ");

需要改成这样:

$total = mysql_query("SELECT COUNT(`user_id`) FROM `users` WHERE `user_name` = '".$user."' AND `password` = '".$pass."' ");

现在它似乎正在检查密码列是否等于“{$pass}”。

于 2012-07-14T06:03:02.307 回答