1

我在用户注册时生成了一个散列密码,但是在尝试登录时生成的散列密码不同,所以我无法登录

reg:(一旦我得到散列密码工作,我将添加检查和验证)

session_start();    

require_once('connect.php');

$login = $_POST['login'];
$password = $_POST['password'];
$cpassword = $_POST['cpassword'];


if($login == '') {
    echo "Email missing";
}
if($password == '') {
    echo "Password missing";
}
if($cpassword == '') {
    echo "Password missing";
}
if( strcmp($password, $cpassword) != 0 ) {
    echo "Passwords do not match";
}

$stmt = $db->prepare("INSERT INTO members (Email, Password) VALUES (:login, :password)");
$stmt->bindValue( ":login", $login );
$stmt->bindValue( ":password", hash("sha512", $password, $salt));
$stmt->execute();

if ($stmt)
{
    header("location: ?p=register-success");
    exit();
}

登录:

session_start();

include_once ('connect.php');   

$Email = $_POST['Email'];
$Password = $_POST['Password'];

$stmt = $db->prepare("SELECT * FROM members WHERE Email = :Email AND Password = :Password");
$stmt->bindParam(":Email", $Email);
$stmt->bindParam(":Password", hash("sha512", $Password, $salt));
$stmt->execute();
$member = $stmt->fetch(PDO::FETCH_ASSOC);
if ($member)    
    { 
            $_SESSION['SESS_MEMBER_ID'] = $member['Member_ID'];
            $_SESSION['SESS_POST_AS'] = $member['Post_As'];
            $_SESSION['SESS_AUTH'] = $member['auth'];
            session_write_close();
            header('location: index.php');
    } else  {
        header("location: ?p=login-failed");
    }

我的盐:(一组固定的字符仅用于测试)

$salt = "Zo4rU5Z1YyKJAASY0PT6EUg7BBYdlEhPaNLuxAwU8lqu1ElzHv0Ri7EM6irpx5w";

我通过在相关注释上提交之前通过回显散列密码来检查它们是否相同,一旦散列密码存储在我的表中,它与注册时提交的密码不同,表中的密码?代替一些特殊字符

4

2 回答 2

1

第三个参数hash确定散列的输出是否是原始的,即未编码为十六进制。您的盐是真实的,因此输出是原始的,并且您的数据库正在尝试将其编码为字符串。

您可能打算使用hash_hmac. 但无论如何都要切换到 Bcrypt;固定盐没那么有用。

于 2013-07-08T16:39:46.697 回答
0

这是哈希函数的原型

string hash ( string $algo , string $data [, bool $raw_output = false ] )

所以你需要做这样的事情:

$saltedPwd = $password . $salt;
$hashedSaltedPwd = hash("sha512", $saltedPwd);

$stmt = $db->prepare("INSERT INTO members (Email, Password) VALUES (:login, :password)");
$stmt->bindValue( ":login", $login );
$stmt->bindValue( ":password", $hashedSaltedPwd);
$stmt->execute();

然后对您的登录页面进行类似的更改。

于 2013-07-08T16:45:03.683 回答