在PHP中更改密码问题

时间:2012-09-04 08:23:34

标签: php passwords

我在我的Android应用程序中实现了密码更改功能,我在我的php文件中编码了密码哈希。用户可以更改密码,密码存储在数据库中。当我尝试使用电子邮件和新密码登录时,它会告诉我错误的密码。我的php文件在哪里做错了?

这是我的php文件代码:

<?php

// array for JSON response
$response = array();

function hashSSHA($newpassword) {
    $salt = mhash('sha512', rand());
    $salt = substr($salt, 0, 15);
    $encrypted = hash('sha512', $newpassword . $salt, true) . $salt;
    $hash = array("salt" => $salt, "encrypted" => $encrypted);
    return $hash;
}

// check for required fields
if (isset($_POST['email']) && isset($_POST['newpassword'])) {
    $email = $_POST['email'];
    $newpassword = $_POST['newpassword'];

    // include db connect class
    require_once __DIR__ . '/db_connect.php';

    // connecting to db
    $db = new DB_CONNECT();

    // TESTING HERE FOR STORING NEW PASSWORD INTO DATABASE
    $hash = hashSSHA($newpassword);
    $encrypted_password = $hash["encrypted"]; // encrypted password
    $salt = $hash["salt"]; // salt

    $result = mysql_query("UPDATE users SET encrypted_password = '$encrypted_password', salt = '$salt' WHERE email = '$email'");

    // check if row inserted or not
    if ($result) {
        // successfully updated
        $response["success"] = 1;
        $response["message"] = "Password successfully changed";

        // echoing JSON response
        echo json_encode($response);
    } else {
        $response["success"] = 0;
        $response["message"] = "Password change failed";
        echo json_encode($response);
    }
} else {
    // required field is missing
    $response["success"] = 0;
    $response["message"] = "Required field(s) is missing";

    // echoing JSON response
    echo json_encode($response);
}
?>

修改 这是我的解密功能

// DECRYPTING user currentpassword
function checkhashSSHA($salt, $currentpassword) {

$hash = hash('sha512', $currentpassword . $salt, true) . $salt;
return $hash;
}

1 个答案:

答案 0 :(得分:1)

您的代码中存在很多问题。

首先,SHA512不是哈希密码的好选择,因为它太快了。 Bcrypt 专门用于哈希密码,因此速度很慢(需要计算时间)。建议使用像[{3}}这样完善的库,如果你想了解如何实现它,你可以阅读这个phpass,我试图解释最重要的点。

1)代码中的第一个问题可能是,mhash()为您的salt生成二进制输出。我不知道为什么你将它附加到你的密码哈希(这不是应该使用盐的方式),但变量$encrypted之后将包含二进制数据。

2)这导致第二个问题,您将变量插入到更新语句中。将二进制数据插入sql将导致语句无效。在将数据添加到sql语句之前,应始终转义数据,在您的情况下使用mysql_escape_string()

3)下一个问题是,不推荐使用mysql_ *函数,而是使用mysqli或PDO进行数据库访问。

4)我们在问题2中遇到的另一个问题是,在没有转义数据的情况下,您很容易受到SQL注入攻击。想象一下,有人可以用这个用户输入做什么......

WHERE email =' abc' OR email <> ' '

......他可以立即重置所有用户的密码!

那就是说,我真的建议你重新考虑使用Bcrypt。

相关问题
最新问题