0

我使用下一个代码来注册用户:名称和密码,存储密码我使用 crypt() 和河豚,它可以工作,但我不知道如何在登录表单中解密密码

 $user = $_POST['user'];
$password = $_POST['pass'];
function cryptPass($input, $rounds = 5){
$salt = "";
$saltChars = array_merge(range('A','Z'), range('a','z'), range(0,9));
for($i=0; $i < 22; $i++) {
  $salt .= $saltChars[array_rand($saltChars)];
}
return crypt($input, sprintf('$2y$%02d$', $rounds) . $salt);
}
$password_hash = cryptPass($password);
$cSQL = "INSERT INTO USERDB (NAME, PASS) VALUES(?,?)";
$stmt = $db->prepare($cSQL);
$stmt->bind_param('ss', $name, $password_hash);
$stmt->execute();
$stmt->close();

这是解密密码的功能,但它不起作用,我的错误在哪里?

$user = $_POST['user'];
$password= $_POST['pass'];
function cryptPass($input, $rounds = 6)
{
$salt = "";
$saltChars = array_merge(range('A','Z'), range('a','z'), range(0,9));
for($i=0; $i < 22; $i++) {
  $salt .= $saltChars[array_rand($saltChars)];
}
return crypt($input, sprintf('$2x$%02d$', $rounds) . $salt);
}
$inputPass = $password;
$pass = $password;
$hashedPass = cryptPass($pass);
$passcrypt = crypt($inputPass, $hashedPass);
$stmt = $db->prepare("SELECT NAME, PASS
FROM  USERDB
WHERE NAME = ? AND PASS =?");
$stmt->bind_param('ss', $user, $passcrypt);
$stmt->execute();
$stmt->close();
4

1 回答 1

1

请务必使用 PHP 5.5 中全新的密码哈希 API。如果您使用的是旧版本,请使用https://github.com/ircmaxell/password_compat在 PHP 中获得与 5.3.7 版本相同的功能。

用法很简单:

创建帐户时:

$hash = password_hash($password);

将哈希存储在数据库中。

确认:

if (password_verify($posted_password, $hash_from_db)) { // login }

有关更多信息,请参阅文档!

请注意,您必须从数据库中读取散列密码才能获取它使用的盐。这也是您的代码中的错误。当您将登录密码与原始哈希进行比较时,您无法创建随机加盐哈希。您必须比较两个哈希值,并且登录密码必须使用与原始密码相同的盐进行哈希处理。否则哈希将不匹配。

于 2013-08-08T22:31:58.167 回答