问题标签 [phpass]

我已经成功地使用 Phpass 对注册用户的密码进行哈希处理并将它们存储在数据库中，现在我被困在登录上，如何检查汇总的用户名和密码，检查用户名是否存在于数据库中，然后根据给定的密码检查哈希密码。

非常感谢任何帮助！！！谢谢！

这是我的代码：

这是我为他人谋福利的工作准则：

我正在阅读phpass 手册。在某些时候，它会像这样检查散列的结果：

我知道这是 phpass 哈希的最小长度，但我不明白它为什么会失败。甚至可能吗？我的意思是，如果发生这种情况，我应该责怪谁/什么？如何防止这种情况？我还在网页上发表了关于此的评论。

作为参考，您可以PasswordHash::HashPassword()在此问题中找到代码：* 如何成为安全的哈希密码？

我需要在 Wordpress 主站点之外的某些网页上设置密码保护。用户更愿意使用他们在 Wordpress 中已有的用户名和密码。

显而易见的解决方案似乎是使用 Apace 模块进行基于 Mysql 的身份验证：mod-auth-mysql。

然而，这似乎是不可能的，因为 Wordpress 使用 Phpass 密码加密，mod-auth-mysql 不支持。

• http://modauthmysql.sourceforge.net/CONFIGURE
• http://www.openwall.com/phpass/
• https://wordpress.stackexchange.com/questions/32004/how-to-validate-wordpress-generated-password-in-db-using-php

有没有办法绕过这个限制？

我目前有一个 Web 服务，其后端数据库在 PHP 5.3 下使用phpassCRYPT_BLOWFISH存储用户密码——所以它使用. 我已经从该服务器公开了一个 API，我想通过该 API 和 iPhone 应用程序对用户进行身份验证。服务器使用 SSL，但我想在传输密码之前对密码进行哈希处理。

如何从 Objective-c 创建一个与 phpass 兼容的哈希？

我即将将phpass实施到一个新的应用程序中，因为它具有安全性的理论和技术论据。这当然不是唯一的安全措施，但对于散列密码，这在我看来是最好的。

但是，在查看它的源代码时，我并没有真正感到高兴。它违背了我的一些最基本的代码约定，尤其是在安全性方面。

我总是===在围绕安全性的代码上使用相同的运算符 ()。

{我总是使用带有 if 的大括号。它们是否在同一条线上并不重要，但即使有可能省略它们也不会给我带来好的感觉。

此外，没有办法强制使用 CRYPT_BLOWFISH 方法。现在我通过在我自己的包装器中检查长度是否正好是 60 个字符来做到这一点。

我想知道是否有人知道更新版本？一个由一个更大的社区维护和检查的改进版，然后只有一个人？正如作者本人已经建议的那样，一个较新的版本可以使用 PHP5，例如无缓冲读取？

或者，也许我只是没有真正原因的偏执狂。

使用 phpass 测试程序http://www.openwall.com/phpass/phpass-0.3.tar.gz或 python-phpass，并使用C?*|Y[j"KQ'%gf作为纯文本密码, 和$P$9kS6tD8tVxajypvJ5837.bt2emepD8/作为哈希，执行：

哈希来自 phpBB3 (3.0.10)，当我向 phpBB3 提供该密码时，它确实可以正常工作。

phpBB3 应该使用 phpass 本身，使用 $H$ 而不是 $P$。

此示例的 phpBB3 中的数据库条目是：

qlc4pi000000";0;"127.0.0.1";1351902499;"testpass";"testpass";"$H$9kS6tD8tVxajypvJ5837.bt2emepD8/";1351902499;0;"tp@inva.lid.com";266402289712;"'' ";1351902544;1351902499;0;"''";"''";0;0;0;0;0;0;0;"en";0.00;0;"DM d, Y g:i a"; 2;0;"''";0;0;0;0;-3;0;0;"t";"d";0;"t";"a";0;1;0;1; 1;1;1;230271;"''";0;0;0;"''";"''";"''";"''";"''";"''";" ''";"''";"''";"''";"''";"''";"''";"''";"bf4ae169a5a21313";1;0;0

phpBB3 中使用的纯文本密码是 [C?*|Y[j"KQ'%gf] 和哈希（从 phpBB3 格式转换为 [$P$9kS6tD8tVxajypvJ5837.bt2emepD8/] （密码和哈希都在 [] 之间） )

任何人都可以阐明正在发生的事情，以及为什么这不适用于 phpass ？这是在论坛所在的同一台机器上，同样，它确实在 phpBB3 论坛上工作，所以我可以正常登录。当我直接访问 phpBB3 数据库时，我无法在外部使用 phpass 进行身份验证。它确实适用于其他帐户，但它仅适用于某些帐户失败。

我已成功注册 phpass，但登录身份验证不起作用。请帮助我。已经 3 天了，我正在为这个错误绞尽脑汁。

注册功能（成功工作并在数据库中添加斜杠密码，如“$2a$08$fpFjM”）

我正在尝试将 PHPass 与新站点一起使用。我生成了这样的哈希并将其存储在数据库中：

在登录页面上，我获取用户并使用 CheckPassword 来查看它们是否相同：

$user['password']确实包含我存储的正确哈希，所以我知道这是正确的。$password是从表单传入的明文密码。CheckPassword()总是返回 false，但是从我今天早上阅读的所有教程来看，这看起来是正确的并且应该可以工作。$hasher以相同的方式创建，成本为 8，便携设置为 true。

我不明白为什么 CheckPassword 总是返回 false。我是否需要以不同于哈希时的方式初始化 CheckPassword 的哈希？我错过了一些简单的东西吗？

我在 CentOS 6.3 上运行 PHP 5.3.19，如果这有什么不同的话。

我在我当前的项目中使用 phpass 并且该项目的一部分处理密码检索，所以我想知道：是否可以使用 phpass 对密码进行哈希处理，该密码已使用 phpass 进行哈希处理，以便可以发送（通过电子邮件）或改变了吗？

我目前正在使用 phpass，但由于我交换了计算机，所以存储的密码长度已经改变。我正在本地主机上工作并重新创建数据库，而不是导出/导入，因为我才刚刚开始。

所以基本上我只是重用了相同的代码，但现在使用的是不同的（认为仍然是相同的值、表等）数据库。

第一次虽然密码看起来像$2a$08QWasd1234FqrgA54gWERGw4$ijy2

它们相当长。

但是第二次，他们看起来像这样$2a$08$nUkQ

为什么会这样？应该引起多大的关注？