1

我过去在项目中使用过少量 PHP,但是我正在尝试一些新的尝试来哈希密码。

在一个单独的页面上有一个 web 表单,它在提交时重定向到 checkRegistration.php 表单,然后连接到数据库,获取用户值,验证它们并将它们输入到各自的列中。

到目前为止,所有传递的值都正确输入,除了那些被password_hash函数传递的值被输入为“0”或空。我认为它是 0 它没有被正确处理并且想知道我做错了什么。

<?php
$con = mysqli_connect("127.0.0.1","root","","projectdatabase");


if (mysqli_connect_errno())
 {
  echo "Failed to connect to MySQL: " . mysqli_connect_error();
 }

 $password_user_input = $_POST['password'];
 $options = array('cost' => 10);


$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','password_hash($password_user_input, PASSWORD_BCRYPT, $options)','$_POST[email]','$_POST[number]')";

if (!mysqli_query($con,$sql))
{
  die('Error: ' . mysqli_error($con));
}
  header("location:login.php");

mysqli_close($con);

?>

4

1 回答 1

5

您没有password_hash()正确使用该函数,并且无法在 VALUES 中传递函数。

您应该或者应该收到一个错误,告诉您它是一个未定义的函数,或者密码列将包含password_hash(hashed_password_string, PASSWORD_BCRYPT, Array)为一个字符串。这是我在测试时收到的两个结果。

这是你需要做的。

您需要预定义变量并将其传递给函数。

$password_user_input = $_POST['password'];
$options = array('cost' => 10);

$pass = password_hash($password_user_input, PASSWORD_BCRYPT, $options);

$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum) 
VALUES 
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','$pass','$_POST[email]','$_POST[number]')";

但是,使用此方法会使您对SQL 注入持开放态度。

使用prepared statements,或者PDO withprepared statements它们更安全

这是从 ircmaxell 的答案https://stackoverflow.com/a/29778421/使用 PDO 和准备好的语句提取的方法。

只需使用图书馆。严重地。它们的存在是有原因的。

不要自己做。如果您正在创建自己的盐,那么您做错了。您应该使用为您处理的库。

$dbh = new PDO(...);

$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);

$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);

并在登录时:

$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
    if (password_verify($_POST['password'], $users[0]->password) {
        // valid login
    } else {
        // invalid password
    }
} else {
    // invalid username
}
于 2015-05-01T23:04:35.653 回答