php - 登录和注册表密码

Question

我正在制作登录和注册表单。因为我正在处理密码，所以我想把它做对，所以请原谅长行的代码。我已经设法完成了对密码进行哈希处理的注册表单。但我的问题是登录密码时没有读取它，我只使用一个模拟帐户和一个密码。你认为它的哈希？请帮忙

PHP 代码（我制作了一个 functions.php 文件，其中包含执行此日志所需的功能）

登录功能

function login($email, $password, $mysqli) {
// Using prepared Statements means that SQL injection is not possible. 
if ($stmt = $mysqli->prepare("SELECT accountID, UserName, Password, salt FROM accounts     WHERE email = ? LIMIT 1")) { 
  $stmt->bind_param('s', $email); // Bind "$email" to parameter.
  $stmt->execute(); // Execute the prepared query.
  $stmt->store_result();
  $stmt->bind_result($user_id, $username, $db_password, $salt); // get variables from result.
  $stmt->fetch();
  $password = hash('sha512', $password.$salt); // hash the password with the unique salt.

  if($stmt->num_rows == 1) { // If the user exists
     // We check if the account is locked from too many login attempts
     if(checkbrute($user_id, $mysqli) == true) { 
        // Account is locked
        // Send an email to user saying their account is locked
        return false;
     } else {
     if($db_password == $password) { // Check if the password in the database matches the password the user submitted. 
        // Password is correct!


           $user_browser = $_SERVER['HTTP_USER_AGENT']; // Get the user-agent string of the user.

           $user_id = preg_replace("/[^0-9]+/", "", $user_id); // XSS protection as we might print this value
           $_SESSION['user_id'] = $user_id; 
           $username = preg_replace("/[^a-zA-Z0-9_\-]+/", "", $username); // XSS protection as we might print this value
           $_SESSION['username'] = $username;
           $_SESSION['login_string'] = hash('sha512', $password.$user_browser);
           // Login successful.
           return true;    
     } else {
        // Password is not correct
        // We record this attempt in the database
        $now = time();
        $mysqli->query("INSERT INTO login_attempts (user_id, time) VALUES ('$user_id', '$now')");
        return false;
     }
  }
  } else {
     // No user exists. 
     return false;
  }
  }
  }

我有一个处理强制登录的检查功能

function checkbrute($user_id, $mysqli) {
   // Get timestamp of current time
   $now = time();
   // All login attempts are counted from the past 2 hours. 
   $valid_attempts = $now - (2 * 60 * 60); 

   if ($stmt = $mysqli->prepare("SELECT time FROM login_attempts WHERE user_id = ? AND time > '$valid_attempts'")) { 
      $stmt->bind_param('i', $user_id); 
      // Execute the prepared query.
      $stmt->execute();
      $stmt->store_result();
      // If there has been more than 5 failed logins
      if($stmt->num_rows > 5) {
         return true;
      } else {
         return false;
      }
   }
}

最后，我有一个 login_check 来检查是否设置了所有会话变量

function login_check($mysqli) {
   // Check if all session variables are set
   if(isset($_SESSION['user_id'], $_SESSION['username'], $_SESSION['login_string'])) {
     $user_id = $_SESSION['user_id'];
     $login_string = $_SESSION['login_string'];
     $username = $_SESSION['username'];

     $user_browser = $_SERVER['HTTP_USER_AGENT']; // Get the user-agent string of the user.

     if ($stmt = $mysqli->prepare("SELECT Password FROM accounts WHERE accountID = ? LIMIT 1")) { 
        $stmt->bind_param('i', $user_id); // Bind "$user_id" to parameter.
        $stmt->execute(); // Execute the prepared query.
        $stmt->store_result();

        if($stmt->num_rows == 1) { // If the user exists
           $stmt->bind_result($password); // get variables from result.
           $stmt->fetch();
           $login_check = hash('sha512', $password.$user_browser);
           if($login_check == $login_string) {
              // Logged In!!!!
              return true;
           } else {
              // Not logged in
              return false;
           }
        } else {
            // Not logged in
            return false;
        }
     } else {
        // Not logged in
        return false;
     }
   } else {
     // Not logged in
     return false;
   }
}

我正在通过单独的 html 文件运行登录表单

<body>
<form action="process_login.php" method="post" name="login_form">
Email: <input type="text" name="email" value=""/>
Password: <input type="password" name="password" id="password" value="" />
<input type="button" value="Login" onclick="formhash(this.form, this.form.password);" />
</form>
</body>
</html>

和 Process_login.php

include 'db_connect.php';
include 'functions.php';
sec_session_start(); // Our custom secure way of starting a php session. 

if(isset($_POST['email'], $_POST['password'])) { 
   $email = $_POST['email'];
   $password = $_POST['password']; // The hashed password.
   if(login($email, $password, $mysqli) == true) {
      // Login success
      echo 'Success: You have been logged in!';

   } else {
      // Login failed
      echo 'Fail';

   }
} else { 
   // The correct POST variables were not sent to this page.
   echo 'Invalid Request';
}

谢谢

Answer 1

绝对零是正确的，您使用的是随机盐，并且您正在将密码哈希作为一个整体相互比较，它们永远不会匹配。我认为你应该使用 bcrypt。你可以创建随机和唯一的盐，但它们的 crypt() 函数只检查被散列的部分而不是盐。

这是一种更明智的做法，您不必创建单独的列来存储盐。此外，bcrypt 可能是当今可用的最安全的方法散列方法，而且它真的很慢，这只会是攻击者而不是您的用户的问题。

我不知道展示如何使用 bcrypt 的教程，但我相信当你在 Google 上搜索时，你会找到很多。但是，这里有一个很好的关于登录和注册系统的教程，它也使用 bcrypt()：http ://www.sunnytuts.com/article/login-and-registration-with-object-orientation-php-and- pdo

我认为您会发现它非常有用，但请确保您继续阅读该教程的第 2 部分。

祝你好运。

Answer 2

您对安全性有正确的想法，但是如果您在尝试与现有记录进行比较时每次尝试都生成一个新的随机盐，那么它永远不会匹配（它是随机的）*。您必须将 与salt一起存储在表中salted hashed password。每个用户的盐应该是随机的（如随机的，而不是他们的用户代理），但您需要使用salt从创建帐户到hash用户密码输入的时间进行比较。

要进行修复：

1. 您需要将“盐”列添加到您的帐户表（或可以与帐户表相关的关系表）。

2. 添加后，您将需要调整您正在insert使用用户信息进入数据库的任何功能。您需要添加salt='$salt'到 SQL。

3. 在检查输入时login_check()，login()您需要执行以下操作：

更新查询的 SQL 以首先检查用户名：

"select count(*) from accounts where username = '$username'"

如果计数为“1”，则执行以下操作：

"select salt from accounts where username = '$username'"

然后你会这样做：

$password_for_comparison = hash('sha512', $password.$salt_from_database);

然后你会这样做：

"select count(*) from accounts where username='username' and password='$password_for_comparison'"

如果这个计数是1那么你有一个有效的用户。

可以将这些东西添加到新函数中并在其他函数中调用（因此您无需维护两个单独的代码集）。

*注意：在某些情况下可能会发生冲突，但是在您选择 sha512 的情况下，这是一种随机的可能性，如果没有人尝试在具有 25 个运行 opencl 的 vid 卡的盒子上使用 hashcat 之类的东西进行暴力破解，这是不太可能的。