UserCake密码哈希/ sha1()函数不起作用

时间:2014-10-05 00:51:37

标签: php mysql sql login usercake

我正在使用UserCake并遇到了一个问题。由于某种原因,generateHash()函数不再一致地工作。以下是我正在看的内容:

funcs.php< - 保存函数的位置

function generateHash($plainText, $salt = null) {
    if ($salt === null) {
        $salt = substr(md5(uniqid(rand(), true)), 0, 25);
    } else {
        $salt = substr($salt, 0, 25);
    }

    return $salt . sha1($salt . $plainText);
}

class.newuser.php< - 调用该函数以创建密码

//Construct a secure hash for the plain text password
$secure_pass = generateHash($this->clean_password);

login.php< - 调用该函数来比较密码

//Hash the password and use the salt from the database to compare the password.
$entered_pass = generateHash($password,$userdetails["password"]);

if($entered_pass != $userdetails["password"]) {
    $errors[] = lang("ACCOUNT_USER_OR_PASS_INVALID");
} else {
    //Passwords match! we're good to go'
}

我可以成功创建一个新帐户。但是当我登录登录时,login.php创建的哈希密码与新用户类创建的哈希密码不同。例如,当我登录时,我将print_r放在输入的哈希pw和数据库中的哈希pw上,这是回来的内容:

$entered_pass = 62b8ce100193434601929323a13a4d95bd3c6535b014e6444516af13f605f36f7
database pass = 62b8ce100193434601929323a153564aaeb4ad75d57b353ee8918cd9829cb5e1b

我唯一能想到的是散列密码在第26个字符处开始偏离,$salt看起来有25个字符(假设是最大长度?)。所有这些都是库存UserCake的东西,所以我不明白为什么它是如此不协调。

我会注意到,如果我复制散列$entered_pass(第一个那里)并将其粘贴到数据库中,我将成功登录。

编辑>>>

在看了一些之后,我认为问题归结为sha1($salt . $plainText);。看起来好像在第一个$salt之后,事情开始发生变化。此外,当我删除它完美登录的sha1()函数时,我只是想知道这是否会对安全性产生重大影响。

1 个答案:

答案 0 :(得分:0)

我有同样的问题。经过一些研究后,我发现使用password_hash()函数更新了。

我将 class.newuser.php 中的$ secure_pass变更改为此...

        //Construct a secure hash for the plain text password
        $secure_pass = password_hash("$this->clean_password", PASSWORD_DEFAULT);

<强> class.user.php

    //Update a users password
public function updatePassword($pass)
{
    global $mysqli,$db_table_prefix;
    $secure_pass = password_hash("$pass", PASSWORD_DEFAULT);
    $this->hash_pw = $secure_pass;
    $stmt = $mysqli->prepare("UPDATE ".$db_table_prefix."users
        SET
        password = ? 
        WHERE
        id = ?");
    $stmt->bind_param("si", $secure_pass, $this->user_id);
    $stmt->execute();
    $stmt->close(); 
}

<强>的login.php

                // Use built in PHP password hashing
            if (!password_verify($password, $userdetails["password"])) {
                // Login Error Attempt Handler
                login_attm_hand();
                //Again, we know the password is at fault here, but lets not give away the combination incase of someone bruteforcing
                $errors[] = lang("ACCOUNT_USER_OR_PASS_INVALID");
            }

我认为这是我在网站上更新的一切。如果您有任何错误,请告诉我,我可以尝试帮助。