6

我似乎无法让这个测试显示来自数据库的散列密码。它可以很好地显示表单中的密码。尝试进行此测试以找出为什么我无法从表单中验证密码与存储在数据库中的密码相比。我读过一些关于转义散列中的 $ 符号的内容,但我不确定如何使用我正在使用的代码来做到这一点。不管怎样,有些事情是不对的。任何帮助将不胜感激!

require('../connect.php');
$username = $_POST['username-sign-in'];
$password = $_POST['password-sign-in'];
$hashedpassword = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]);
if (empty($username)) {
    echo 'Please enter your username.';
    exit();
}
if (empty($password)) {
    echo 'Please enter your password.';
    exit();
}
if (isset($username, $password)) {
    $getuser = $connection->prepare('SELECT `username`, `password` FROM `users` WHERE `username` = ? AND `password` = ?');
    $getuser->bind_param('ss', $username, $hashedpassword);
    $getuser->execute();
    $userdata = $getuser->get_result();
    $row = $userdata->fetch_array(MYSQLI_ASSOC);
    echo 'Password from form: ' . $hashedpassword . '<br />';
    echo 'Password from DB: ' . $row['password'] . '<br />';
    if (password_verify($row['password'], $hashedpassword)) {
        echo 'Success.';
        exit();
    }
    else {
        echo 'Fail.';
        exit();
    }
}
else {
    echo 'Please enter your username and password.';
    $connection->close();
    exit();
}
4

4 回答 4

24

您不能对输入进行哈希处理,然后在数据库中对其进行查询,因为哈希每次都会使用不同的随机盐。所以你可以对同一个密码进行一千次哈希运算,得到 1000 个不同的结果。

您只需在数据库中查询与用户名相关的记录,然后将数据库返回的密码哈希与输入密码进行比较,使用password_verify().

此外,当最初在创建密码时(使用 )将哈希写入数据库时​​,password_hash()无需转义哈希。 password_hash()在密码验证过程中根本没有使用。

于 2014-01-12T01:26:16.613 回答
11

快速浏览一下这些功能,您似乎可能以错误的方式进行了测试。

您应该将密码的哈希版本存储在数据库中,然后将其与通过 $_POST 提供的密码进行比较。然后其余的会像..

$getuser = $connection->prepare('SELECT `password` 
                                        FROM `users` WHERE `username` = ?');
$getuser->bind_param('s', $username);
$getuser->execute();
$userdata = $getuser->get_result();
$row = $userdata->fetch_array(MYSQLI_ASSOC);
echo 'Password from form: ' . $hashedpassword . '<br />';
echo 'Password from DB: ' . $row['password'] . '<br />';
if (password_verify($password, $row['password'])) {
    // $password being $_POST['password-sign-in']
    // $row['password'] being the hashed password saved in the database
    echo 'Success.';
    exit();
} else {
    echo 'Fail.';
    exit();
}
于 2014-01-12T01:27:58.113 回答
1

您是否尝试过更改单引号,例如'

$getuser = $connection->prepare('SELECT `username`, `password` FROM `users` WHERE `username` = ? AND `password` = ?');
$getuser->bind_param('ss', $username, $hashedpassword);

像双引号一样"

$getuser = $connection->prepare("SELECT `username`, `password` FROM `users` WHERE `username` = ? AND `password` = ?");
$getuser->bind_param("ss", $username, $hashedpassword);

另外,你为什么要匹配password?也许这适用于您的测试用例:

$getuser = $connection->prepare("SELECT `username`, `password` FROM `users` WHERE `username` = ?");
$getuser->bind_param("s", $username);

编辑此外,当您进行检查时,您实际上是在对密码进行双重哈希处理:

if (password_verify($row['password'], $hashedpassword)) {

只需这样做:

if (password_verify($password, $row['password'])) {

问题在于它password_verify的语法为:

boolean password_verify ( string $password , string $hash )

您需要在第一个参数中发送普通/非散列密码,然后将散列值放在第二个参数中。试试看。

于 2014-01-12T01:21:43.470 回答
-1

问题通常是当您从表单中散列用户输入时,它会像带有双引号一样被散列。这就是为什么您看到哈希以 $2y$10 开头的原因……我认为您应该从这一点尝试解决它。如果您要给出答案,请考虑一下

于 2018-03-29T21:43:56.453 回答