1

我正在使用从 android 到一些 php 脚本的 HTTP POST 来更新数据库中的用户密码。

我正在使用与用户创建帐户并且数据库更新正在运行并更改 SALT 的值时相同的 SALT 哈希值,但是当我尝试使用新密码登录时,它会出现错误。

创建密码的初始代码是:

public function storeUser($name, $email, $password, $rand) {
    $uuid = uniqid('', true);
    $hash = $this->hashSSHA($password);
    $encrypted_password = $hash["encrypted"]; // encrypted password
    $salt = $hash["salt"]; // salt
    $auth = 0;
    $result = mysql_query("INSERT INTO users(unique_id, authorized, auth_code, name, email, encrypted_password, salt, created_at) VALUES('$uuid', '$auth', '$rand', '$name', '$email', '$encrypted_password', '$salt', NOW())");
    // check for successful store
    if ($result) {
        // get user details 
        $uid = mysql_insert_id(); // last inserted id
        $result = mysql_query("SELECT * FROM users WHERE uid = $uid");
        // return user details
        return mysql_fetch_array($result);
    } else {
        return false;
    }
}

哈希函数是:

 /**
 * Encrypting password
 * @param password
 * returns salt and encrypted password
 */
public function hashSSHA($password) {

    $salt = sha1(rand());
    $salt = substr($salt, 0, 10);
    $encrypted = base64_encode(sha1($password . $salt, true) . $salt);
    $hash = array("salt" => $salt, "encrypted" => $encrypted);
    return $hash;
}

/**
 * Decrypting password
 * @param salt, password
 * returns hash string
 */
public function checkhashSSHA($salt, $password) {

    $hash = base64_encode(sha1($password . $salt, true) . $salt);

    return $hash;
}

最后是更新功能(问题出在哪里):

 /**
 * Updating a users
 * password
 */
public function updatePassword($email, $password) {
    $uuid = uniqid('', true);
    $hash = $this->hashSSHA($password);
    $encrypted_password = $hash["encrypted"]; // encrypted password
    $salt = $hash["salt"]; // salt

    $result = mysql_query("UPDATE users SET encrypted_password='$encrypted_password',  updated_at = NOW() WHERE email='$email'");
    $result = mysql_query("UPDATE users SET salt='$salt',  updated_at = NOW() WHERE email='$email'");


    // check for successful store
    if ($result) {
        // get user details
        $uid = mysql_insert_id(); // last inserted id
        $result = mysql_query("SELECT * FROM users WHERE email = '$email'");
        // return user details
        return mysql_fetch_array($result);
    } else {
        return false;
    }
}

一如既往,非常感谢任何帮助。

编辑:

按要求登录功能:

 /**
 * Get user by email and password
 */
public function getUserByEmailAndPassword($email, $password) {
    $result = mysql_query("SELECT * FROM users WHERE email = '$email'") or die(mysql_error());
    // check for result
    $no_of_rows = mysql_num_rows($result);
    if ($no_of_rows > 0) {
        $result = mysql_fetch_array($result);
        $salt = $result['salt'];
        $encrypted_password = $result['encrypted_password'];
        $hash = $this->checkhashSSHA($salt, $password);
        // check for password equality
        if ($encrypted_password == $hash) {
            // user authentication details are correct
            return $result;
        }
    } else {
        // user not found
        return false;
    }
}
4

1 回答 1

0

您已经构建了一个弱方案来散列您的密码,因为您使用 SHA1 的单次迭代作为散列函数,并且因为盐被截断为 10 个字符并且是使用加密不安全rand()函数生成的。然后,将盐存放在单独的区域中,会使您的生活变得比必要的更加艰难。

在您的情况下,我强烈建议使用 PHP 的新函数password_hash()password_verify()来获得强大的 BCrypt 哈希。它们负责生成安全的随机盐,生成的字符串包含散列值和盐,因此您可以将其存储在数据库的单个字段中。早期的 PHP 版本存在一个兼容包

使用此功能的最简单方法是:

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

回答您的问题:我看不出它不起作用的明显原因,通常问题是数据库字段太短。在您的情况下,您需要放置一个添加了 10 个字符的盐的二进制 SHA1,即 base64_encoded(难以预测必要的大小)。将来自 SHA1(空字节)的二进制字符串与普通字符串组合起来也很危险。

于 2013-02-26T10:17:28.807 回答