为什么password_verify返回false?

时间:2014-02-12 22:39:10

标签: php mysql post passwords

我正在使用password_verify来检查我的哈希密码。我有PHP 5.5:

   $this->db_connection = new mysqli(DB_HOST, DB_USER, DB_PASS, DB_NAME);


        // if no connection errors (= working database connection)
        if (!$this->db_connection->connect_errno) {

            // escape the POST stuff
            $user_name = $this->db_connection->real_escape_string($_POST['user_name']);

            // database query, getting all the info of the selected user (allows login via email address in the
            // username field)
            $sql = "SELECT user_name, user_email, user_password_hash
                    FROM users
                    WHERE user_name = '" . $user_name . "' OR user_email = '" . $user_name . "';";
            $result_of_login_check = $this->db_connection->query($sql);

            // if this user exists
            if ($result_of_login_check->num_rows == 1) {

                // get result row (as an object)
                $result_row = $result_of_login_check->fetch_object();

                // using PHP 5.5's password_verify() function to check if the provided password fits
                // the hash of that user's password


                if (password_verify($_POST['user_password'], $result_row->user_password_hash)) {

                    // write user data into PHP SESSION (a file on your server)
                    $_SESSION['user_name'] = $result_row->user_name;
                    $_SESSION['user_email'] = $result_row->user_email;
                    $_SESSION['user_login_status'] = 1;

我在false上收到了password_verify。我已经检查了帖子值和mysql user_password_hash返回。

我不知道为什么它会返回false

有什么想法吗?

2 个答案:

答案 0 :(得分:19)

可能问题在于您的色谱柱长度,来自手册: 建议将结果存储在数据库列中,该列可以扩展到超过60个字符(255个字符将是一个不错的选择)。 link

答案 1 :(得分:4)

password_verify可能返回错误的原因有很多,其范围从表的设置到密码的实际比较,以下是导致密码失败的常见原因。

列设置

  • 表中密码列的长度太短:

    • 如果您使用的是PASSWORD_DEFAULT,则建议将结果存储在一个数据库列中,该列可以扩展到超过60个字符(255个字符是一个不错的选择)。
    • 如果您使用的是PASSWORD_BCRYPT,则建议将结果存储在60个字符的数据库列中,因为PASSWORD_BCRYPT总是会导致60个字符串或失败时为FALSE。

密码清理

另一个常见原因是,当开发人员尝试“清除”用户密码以防止其受到恶意攻击时,结果导致输入内容与表中存储的内容不同。甚至没有必要转义输入,您应该使用准备好的语句。您甚至都不应该trim密码,因为那样可能会更改最初提供的密码。

密码验证

使用password_verify时,您需要将纯文本密码与数据库中的哈希进行比较,而不是对哈希进行比较(这意味着您需要在用户注册时存储用户的哈希密码):< / p> 

<?php

$hashed = password_hash('test', PASSWORD_DEFAULT);
$password = 'test';

if (password_verify($password, $hashed)) {
  echo 'success';
} else {
  echo 'fail';
}

?>

Repl

硬编码密码

在您使用硬编码哈希且遇到问题的情况下,请确保在将值存储在变量中时使用单引号而不是双引号,因为使用时会解释$双引号:

<?php
// Undefined variable: QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu :1
$incorrect = "$2y$10$QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu";

$correct = '$2y$10$QHpfI0MfQWjvsVQWRdFHSOX6WqG8LSf0iFGiKs0Fz0RvqhpFOpAKu';
?>

Repl-分别注释掉。

附录

根据文档:

  

警告:强烈建议您不要为此功能生成自己的盐。如果您不指定盐,它将自动为您创建安全盐。

     

如上所述,在PHP 7.0中提供salt选项将生成弃用警告。将来的PHP版本中可能会删除对手动提供盐的支持。

相关问题
最新问题