我正在使用UserCake并遇到了一个问题。由于某种原因,generateHash()
函数不再一致地工作。以下是我正在看的内容:
funcs.php< - 保存函数的位置
function generateHash($plainText, $salt = null) {
if ($salt === null) {
$salt = substr(md5(uniqid(rand(), true)), 0, 25);
} else {
$salt = substr($salt, 0, 25);
}
return $salt . sha1($salt . $plainText);
}
class.newuser.php< - 调用该函数以创建密码
//Construct a secure hash for the plain text password
$secure_pass = generateHash($this->clean_password);
login.php< - 调用该函数来比较密码
//Hash the password and use the salt from the database to compare the password.
$entered_pass = generateHash($password,$userdetails["password"]);
if($entered_pass != $userdetails["password"]) {
$errors[] = lang("ACCOUNT_USER_OR_PASS_INVALID");
} else {
//Passwords match! we're good to go'
}
我可以成功创建一个新帐户。但是当我登录登录时,login.php创建的哈希密码与新用户类创建的哈希密码不同。例如,当我登录时,我将print_r
放在输入的哈希pw和数据库中的哈希pw上,这是回来的内容:
$entered_pass = 62b8ce100193434601929323a13a4d95bd3c6535b014e6444516af13f605f36f7
database pass = 62b8ce100193434601929323a153564aaeb4ad75d57b353ee8918cd9829cb5e1b
我唯一能想到的是散列密码在第26个字符处开始偏离,$salt
看起来有25个字符(假设是最大长度?)。所有这些都是库存UserCake的东西,所以我不明白为什么它是如此不协调。
我会注意到,如果我复制散列$entered_pass
(第一个那里)并将其粘贴到数据库中,我将成功登录。
编辑>>>
在看了一些之后,我认为问题归结为sha1($salt . $plainText);
。看起来好像在第一个$salt
之后,事情开始发生变化。此外,当我删除它完美登录的sha1()
函数时,我只是想知道这是否会对安全性产生重大影响。
答案 0 :(得分:0)
我有同样的问题。经过一些研究后,我发现使用password_hash()函数更新了。
我将 class.newuser.php 中的$ secure_pass变更改为此...
//Construct a secure hash for the plain text password
$secure_pass = password_hash("$this->clean_password", PASSWORD_DEFAULT);
<强> class.user.php 强>
//Update a users password
public function updatePassword($pass)
{
global $mysqli,$db_table_prefix;
$secure_pass = password_hash("$pass", PASSWORD_DEFAULT);
$this->hash_pw = $secure_pass;
$stmt = $mysqli->prepare("UPDATE ".$db_table_prefix."users
SET
password = ?
WHERE
id = ?");
$stmt->bind_param("si", $secure_pass, $this->user_id);
$stmt->execute();
$stmt->close();
}
<强>的login.php 强>
// Use built in PHP password hashing
if (!password_verify($password, $userdetails["password"])) {
// Login Error Attempt Handler
login_attm_hand();
//Again, we know the password is at fault here, but lets not give away the combination incase of someone bruteforcing
$errors[] = lang("ACCOUNT_USER_OR_PASS_INVALID");
}
我认为这是我在网站上更新的一切。如果您有任何错误,请告诉我,我可以尝试帮助。