5

我刚刚开始学习 php,并决定让自己接受编写注册和登录脚本的挑战。

我不确定如何继续。现在,在你搜索我的代码之前......请不要成为一个关于 sql 注入和 bobby 表的人。我明白了,但目前还没有看。

无论如何,我用漩涡和盐加密了密码。目前盐是静态的,不确定如何使用 Time() 函数实现一个,并且不通过在数据库中定位它来破坏目的。我要解决的问题是如何检查用户输入的用户名和密码是否与用户名和哈希密码匹配。

这是我当前的代码,我假设最重要的部分将在 login.php 文件中。

<?php
//connect.php
    $connection = mysql_connect("localhost","root","") or die("Couldn't connect to database");
    mysql_select_db("test", $connection);
?>

<?php
//index.php
include 'connect.php';
define('salt','7hPqMO(m=F+!!L6(#Yhp-CdF, &Q}+cIrA;c@wcP(E--V<qRmq!v*aSnM;H=4cD0');


if(isset($_POST['username']) && isset($_POST['fullname']) && isset($_POST['email']) &&      isset($_POST['password'])) {
    $username = mysql_real_escape_string($_POST['username']);
    $fullname = mysql_real_escape_string($_POST['fullname']);
    $email = mysql_real_escape_string($_POST['email']);
    $password = mysql_real_escape_string($_POST['password']);
    $encryptedPassword = hash( 'whirlpool',salt.$password );

    $sql="INSERT INTO `users` (username, fullname, email, password)
    VALUES
    ('$username', '$fullname','$email','$encryptedPassword')";

    if(!mysql_query($sql,$connection)) {
        die('Error: ' . mysql_error());
    } else {
        mysql_close($connection);
        header('Location: login.php?redirectedFromRegister=1');
    }
}
?>

<html>
    <body>
        <form action="index.php" method="post">
            <h1>REGISTER</h1><hr/>

            Email:    <input type="text" name="email"/><br/>
            Full Name:<input type="text" name="fullname"/><br/>
            Username: <input type="text" name="username"/><br/>
            Password: <input type="password" name="password"/><br/>

            <input type="submit" value="REGISTER"/>
        </form>
    </body>
</html>

<?php 
//login.php
include 'connect.php';

if(isset($_GET['redirectedFromRegister'])==1) {
    echo 'Thank you for registering, you may now login';
} else {
    echo '<h1>LOGIN</h1>';
}
?>

<html>
    <body>
        <form action="index.php" method="post">

            Username: <input type="text" name="username"/><br/>
            Password: <input type="password" name="password"/><br/>

            <input type="submit" value="LOGIN"/>
        </form>
    </body>
</html>

真的,这个问题可能很简单,但我想我会包含我当前的代码,以便人们可以从中学到一些东西。

给定盐或其他内容,您如何解密散列密码。就像我说过的,我不确定它是如何完成的。

我的数据库信息,如果你没有在 connect.php 文件中看到的话是:

Database : Localhost
Username : Root
Password : ""
Table    : users

Table layout :

------------------------------------------------------------------  
|  Id  |  Username  |  Password  |  Email       |  Fullname      |
------------------------------------------------------------------
|  1   |BobbyTables | HASHED_PASS|email@E.com   | Max Mastalerz  |
|  2   | SteveJo    | HASHED_PASS|steve@jobs.com| Steve Jobs     |
|  3   | MarkZuck   | HASHES_PASS|MarkZ@fb.com  | Mark Zuckerberg|
------------------------------------------------------------------

这些代码也可以在此处作为 pastebin 轻松获得:

连接.php:http : //pastebin.com/8ft12kG5

索引.php:http : //pastebin.com/TqrJhzdu

login.php: http: //pastebin.com/9fR3HJhe

4

1 回答 1

1

加盐散列的一般思想是您生成每个用户的盐,将其附加到密码中,并将盐与加盐+散列的密码一起存储在数据库中。

当用户登录时,您查找他们的用户名的盐,将其附加到他们输入的密码中,将其散列在一起并将其与存储在数据库中的散列进行比较。

如果您真的,真的坚持为所有用户使用一个盐,您可以将您的全局盐附加到用户输入的密码中,并将其与您存储的哈希值进行比较。

于 2014-04-08T02:55:28.480 回答