什么是与PDO一起使用password_verify的正确方法?

时间:2016-10-14 20:36:04

标签: php mysql pdo password-encryption

我似乎无法在我的php PDO代码中使用password_verify工作。我的传递字段存储为varchar(255)。我一直在阅读类似的问题,但据我所知,我已将其设置正确。我仍然必须遗漏一些东西。 我的注册页面如下..

$user = $_POST['username']
$pass = $_POST['pass'];
$passH = password_hash($pass, PASSWORD_DEFAULT);
$query = $con->prepare("INSERT INTO emps (user, pass) VALUES (?, ?)");
$query->execute([$user, $passH]);

加密密码现已成功存储在我的数据库中。

我的登录页面如下..

if(isset($_POST['login'])) {
  $username = $_POST['username'];
  $pass = trim($_POST['pass'];
  $passH = password_hash($pass, PASSWORD_DEFAULT);
  $sel_user = $con->prepare("SELECT id, username, pass, gid FROM emps WHERE gid!=4 AND username=?");
  $sel_user->execute([$username]);
  $check_user=$sel_user->fetch();
  if(count($check_user)>0 && password_verify($passH, $check_user['pass'])) {
    $_SESSION['username']=$check_user['username'];
    header("Location: xadmin.php");
    exit;
  }
  else {
    echo "<script>alert('Not Found')</script>";

登录页面..

<form action="login.php" method="post">
    <table width="100%" border="0">
        <tbody>
            <tr>
                <td bgcolor="#3B3B3B" height ="35" class="BodyTxtB" align="center">Administrator Login</td></tr>
            <tr height="20"><td></td></tr>
            <tr>
              <td class="BodyTxtB" align="center">Username</td>
            </tr>
            <tr>
              <td class="BodyTxtB" align="center"><input type="text" class="BodyTxtBC" name="username" required="required"/></td>
            </tr>
            <tr height="20"><td></td></tr>
            <tr>
              <td class="BodyTxtB" align="center">Password</td>
            </tr>
            <tr>
              <td class="BodyTxtB" align="center"><input type="password" class="BodyTxtBC" name="pass" required="required"/></td>
            </tr>
            <tr height="20"><td></td></tr>
            <tr height="35"><td align="center"><input type="image" src="images/btn_login.jpg" name="login" value="Login"/>
            <input type="hidden" name="login" value="Login" /></td></tr>
            <tr height="20"><td></td></tr>
         </tbody>
     </table>
   </form>

有人能发现任何错误吗?

2 个答案:

答案 0 :(得分:2)

RTM? http://php.net/password_verify

---
- hosts: local

  tasks:
  - name: Update cataline.properties 1
    lineinfile:  dest=/home/folder1/catalina.properties insertafter="# been granted." line="package.access=sun.,org.apache.catalina.,org.apache.coyote.,org.apache.jasper.,\"

您传递boolean password_verify ( string $password , string $hash ) PLAINTEXT 密码。你不要自己哈希。这只会产生一个带有不同盐的新散列,这使得比较既无意义也不可能。

$password将从password_verify中提取适当的salt,使用它来哈希$hash本身,然后比较哈希字符串。

e.g。 password_verify基本上就是这样:

$password

答案 1 :(得分:1)

password_verify()的参数是(1)您要检查的未散列密码和(2)您用作参考的散列密码。在比较之前,您正在哈希第一个参数:

function password_verify($pw, $hash) {
    $salt = get_salt_from($hash);
    $temp = password_hash($pw, $salt);

    return ($temp == $hash);
}

你应该做$pass = trim($_POST['pass']; $passH = password_hash($pass, PASSWORD_DEFAULT); // ... if(count($check_user)>0 && password_verify($passH, $check_user['pass'])) {

此外,修剪密码是个坏主意。如果密码实际上包含空格( 允许它做什么),该怎么办?