php中的sha1无法正确存储在mysql中

时间:2012-10-17 19:30:34

标签: php mysql sha1

我使用以下代码将密码存储到mysql 

    if (!$errors) {
    // include the connection file
    require_once('connection.inc.php');
    $conn = dbConnect('write');
    // create a salt using the current timestamp
    $salt = time();
    // encrypt the password and salt
    $pwd = sha1($password, $salt);
    echo $pwd;
    // prepare SQL statement
    $sql = 'INSERT INTO users (username, salt, pwd)
            VALUES (?, ?, ?)';
    $stmt = $conn->stmt_init();
    $stmt = $conn->prepare($sql);
    // bind parameters and insert the details into the database
    $stmt->bind_param('sis', $username, $salt, $pwd);
    $stmt->execute();
    if ($stmt->affected_rows == 1) {
        $success = "$username has been registered. You may now log in.";
    } elseif ($stmt->errno == 1062) {
        $errors[] = "$username is already in use. Please choose another username.";
        } else {
            $errors[] = 'Sorry, there was a problem with the database.';
        }

}

密码字段pwd定义为CHAR 40.当我检查它时,我看到它包含以下内容:

ƒ7Ž{9‰ù|EòsŒs”ºþ

无论我输入什么密码。当然,当我尝试使用以下代码登录时,这与密码无法比较:

    require_once('connection.inc.php');
$conn = dbConnect('read');
// get the username's details from the database
$sql = 'SELECT salt, pwd FROM users WHERE username = ?';
// initialize and prepare  statement
$stmt = $conn->stmt_init();
$stmt->prepare($sql);
// bind the input parameter
$stmt->bind_param('s', $username);
// bind the result, using a new variable for the password
$stmt->bind_result($salt, $storedPwd);
$stmt->execute();
$stmt->fetch();
// encrypt the submitted password with the salt
// and compare with stored password
if (sha1($password . $salt) == $storedPwd) {
    $_SESSION['authenticated'] = 'Jethro Tull';
    // get the time the session started
    $_SESSION['start'] = time();
    session_regenerate_id();
    header("Location: $redirect");
    exit;
} else {
    // if no match, prepare error message
    echo "  pwd " . $password;
    echo "  salt " . $salt;
    echo "  sha1 " . sha1($password . $salt);
    echo "  St. pwd " . $storedPwd;
    $error = 'Invalid username or password';
}

有谁知道为什么会这样?

3 个答案:

答案 0 :(得分:3)

不确定这是否是您唯一的问题,但

 $pwd = sha1($password, $salt);

不是您使用sha1函数的方式。 http://php.net/manual/en/function.sha1.php

time()将始终评估为TRUE,因此您将原始二进制格式插入到您的char密码字段中。引起你所看到的问题。

您可能想要做的是

 $pwd = sha1($password . $salt);
                       ^

答案 1 :(得分:0)

sha1默认返回二进制哈希值,你将其存储在char字段中 - char字段受charset转换,这意味着mysql会破坏哈希值。将字段转换为二进制/ varbinary,而不受字符集转换

答案 2 :(得分:0)

在将数据插入数据库时​​,您有一个简单的拼写错误,其中您写了逗号(,)而不是点(.)。

// encrypt the password and salt
$pwd = sha1($password, $salt);

将此与验证密码时生成哈希值的位置进行比较:

// encrypt the submitted password with the salt
// and compare with stored password
if (sha1($password . $salt) == $storedPwd) {

由于这两者具有非常不同的含义,因此小的错误将会产生巨大的后果。

您想要形成一个由$password$salt组成的新字符串,但您现在正在给sha1两个参数而不是一个。

sha1的第二个参数控制函数返回的数据类型,明文(如果为false,默认值)与原始数据(如果为真)。

相关问题
最新问题