我正在尝试使用php创建密码重设页面。但是我遇到的问题是,当我输入新密码然后按重置按钮时,程序将创建一个随机密码并将其保存在数据库中。不是我之前输入的那个。谢谢。
这是我使用的代码:
<?php
require_once 'inc/dbconnection.php';
if(isset($_POST["reset-password"])){
$name = $_GET["Fname"];
$password = trim($_POST["password"]);
$confirmPassword = trim($_POST["confirmPassword"]);
if($password == $confirmPassword) {
$password = password_hash($password, PASSWORD_DEFAULT);
$stmt = $db->prepare("UPDATE sec SET password= ? WHERE Fname = ?");
$stmt->execute(array($password,$name));
$affected_rows = $stmt->rowCount();
if($affected_rows) {
$success_message = "Password is reset successfully.<br>Now you are redirecting";
header("Refresh:3; url=loginSf.html");
} else {
$error_message = "Failed : <br> Password not updated";
}} else {
$error_message = "Password not matched";
} } ?>
<!DOCTYPE html>
<html>
<head>
<title>Reset Password</title>
<link rel="stylesheet" type="text/css" href="styless.css">
</head>
<body>
<br><br><div id="sidebar-left"></div>
<div class="reset"> Reset password </div><br><br>
<form id="reserPassword" action="new_pass.php" name="reserPassword" method="post">
<br><br><br><br><br><br><br><br><br><br>
<div id="borr"> Reset Password<br>
<?php if(!empty($success_message)) { ?>
<?php echo $success_message ?>
<?php } ?>
<?php if(!empty($error_message)) { ?>
<?php echo $error_message ?>
<?php } ?>
<br> <input type="password" id="password" name="password" placeholder="Enter a New Password" required>
<br> <input type="password" id="confirmPassword" name="confirmPassword" placeholder="Confirm Password" required>
<br><input type="submit" value="Reset Password" name="reset-password" id="forget-password"> </form></div></body></html>
答案 0 :(得分:1)
让我猜:数据库中有类似$2y$10$nUT/9PN0hVuk0q3ci6aSJer1Ln05UGmWDTELUzAKU46qUExZZOD1W的东西吗?
password_hash用于对密码进行哈希处理[1],因此不会将它们作为纯文本存储在数据库中。
它是PHP密码哈希函数的一部分[3]。如您所述,其中存储了一个“随机”密码,我想您没想到要使用此功能,而是使用了告诉您或在示例中使用的此功能。
因此,您应该阅读相应的功能,以检查用户用于登录的密码是否正确:password_verify [2]。
一个小例子:
$password = 'im_an_apple';
// creates a hash with the current default algorithm
$hashed = password_hash($password, PASSWORD_DEFAULT);
echo $hashed;
// e.g. $2y$10$nUT/9PN0hVuk0q3ci6aSJer1Ln05UGmWDTELUzAKU46qUExZZOD1W
// this string holds all needed informations:
// used hashing algorithm, salt, hash
// to verify this:
$verifiesPW = password_verify($password, $hashed);
$verifiesRandom = password_verify('assdfghj', $hashed);
var_dump($verifiesPW); // true
var_dump($verifiesRandom); // false
由于您在数据库中仍然可能会有一些纯文本密码,因此您的登录脚本可能包含以下内容:
$passwordFromInput = 'im_a_banana';
$passwordFromDB = 'im_a_banana';
$isCorrectPassword = false;
$needsHash = password_get_info($passwordFromDB)['algoName'] === 'unknown'; //true
if ($needsHash) {
$isCorrectPassword = $passwordFromInput === $passwordFromDB;
} else {
$isCorrectPassword = password_verify($passwordFromInput, $passwordFromDB);
}
if ($isCorrectPassword && $needsHash) {
$passwordHash = password_hash($passwordFromInput, PASSWORD_DEFAULT);
// store $passwordHash in db
}
这使用password_get_info [4]检查所使用的哈希算法。如果未对密码进行哈希处理,它将返回unknown作为哈希算法。因此,用户登录时密码将存储为哈希值。
参考文献:
[1] https://security.stackexchange.com/questions/41447/why-is-password-hashing-considered-so-important