Question

我正在使用两种方法。当用户创建帐户时，我调用此方法为其创建安全密码哈希以保存到数据库中：

public function createPassword($password){
    $salt = hash("sha256", time() . uniqid() . rand(1, 1000));
    return crypt($password, $salt);
}

它返回一个salt，然后我将其保存到密码列中的数据库中。

接下来，当用户登录他/她的帐户时，我从数据库中选择他们的信息并将其传递给此功能，然后该功能应验证他们的密码。

public function verifyPassword($password, $salt){
    if(crypt($password, $salt) == $salt){
        return true;
    }
    return false;
}

问题是我找到了一个密码，如果我输入了正确的密码，但是如果我在密码的末尾添加额外的字符，它仍然有效。这不应该发生。我做错了什么，或者这是php中的错误？

为了安全起见，我没有使用下面的真实密码

// Create during registration
$salt = $obj->createPassword('abc123');
// Save to database here

然后：

// Get row from database save array $row
if($obj->verifyPassword($_POST["passwd"], $row["password"])){
    // Log user in
}

以下是我的测试：

abc123          // Works
abc12           // doesn't work
abc12jfjf       // doesn't work
abc123123       // Works
abc123asdfadffa // Works

所以，看起来好像只要字符串以真实密码开头后就可以了......

Answer 1

这可能取决于您使用的加密方法。在您的示例中，您实际使用的密码是8个字符吗？

如果是这样，那么任何超过8日的字符都会被截断。

要避免此行为，请使用MD5加密。