我正在使用password_hash来保护数据库中的密码,但是当我使用password_verify时,它不匹配。在第一种情况下,我使用password_verify进行用户连接,即使它不是一个好的密码,它也始终返回true。在第二种情况下,当用户想要更改密码时,我使用password_verify,要求他提供实际密码以进行更改。在这种情况下,即使我以与连接相同的方式使用password_verify,它也始终返回false。
在我的数据库中,密码存储为VARCHAR(60)。我还尝试了VARCHAR(255),没有区别。
这是当用户创建帐户时我如何使用password_hash:
if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['psw-confirmation'])) {
$username = htmlspecialchars($_POST['username']);
$password = htmlspecialchars($_POST['password']);
$pswConfirmation = htmlspecialchars($_POST['psw-confirmation']);
if($password == $pswConfirmation) {
// Connection to database
require('database-connection.php');
$request = $database->prepare("SELECT * FROM users WHERE username = :username");
$request->execute(array(
":username" => $username
));
$return = $request->fetch();
// If the username doesn't exist yet in the database
if(!$return) {
$request->closeCursor();
$hash = password_hash($password, PASSWORD_BCRYPT);
$addProfile = $database->prepare("INSERT INTO users(username, password) VALUES(:username, :password)");
$addProfile->execute(array(
":username" => $username,
":password" => $hash
));
我想这部分工作很好,因为我的数据库中确实有一个哈希密码:$2y$10$AFV2zouzirBhS30tCCRx9uyZDNMGSJWffUbXMO876T/9nJ8UDQJRi
这是我验证连接密码的方法:
if(isset($_POST['username']) && isset($_POST['password'])) {
$username = htmlspecialchars($_POST['username']);
$password = htmlspecialchars($_POST['password']);
// Connection to database
require('database-connection.php');
$request = $database->prepare("SELECT * FROM users WHERE username = :username");
$request->execute(array(
":username" => $username
));
$return = $request->fetch();
$hash = $return['password'];
// If the username exists in the database
if($return) {
// And if the password match
if(password_verify($password, $hash)) {
echo "connected";
}
这里是用户要更改密码时如何验证密码: if(isset($ _ POST ['actual-psw'])&& isset($ _ POST ['new-psw'])&& isset($ _ POST ['confirm-psw'])){
$actualPsw = htmlspecialchars($_POST['actual-psw']);
$newPsw = htmlspecialchars($_POST['new-psw']);
$confirmPsw = htmlspecialchars($_POST['confirm-psw']);
// Connection to database
require('database-connection.php');
$request = $database->prepare("SELECT * FROM users WHERE id = :id");
$request->execute(array(
':id' => $_SESSION['id']
));
$return = $request->fetch();
$hash = $return['password'];
if(password_verify($actualPsw, $hash)) {
echo "success";
} else {
echo "fail";
}
$_SESSION['id']返回实际用户的正确ID。
我不明白为什么它不起作用,这让我更加困惑,在一种情况下,它总是正确的,而在另一种情况下,它总是错误的,因为在两种情况下我都使用相同的方式。
答案 0 :(得分:1)
我找出我的错误在哪里;
我有这个database-connection.php文件:
$host = 'localhost';
$dbname = 'japonwebsite';
$user = 'root';
$password = 'mysql';
try
{
$database = new PDO("mysql:host=$host;dbname=$dbname;charset=utf8", $user,
$password);
}
catch (Exception $e)
{
die('Erreur : ' . $e->getMessage());
}
我在需要连接到数据库的所有页面上都包含此文件,因此我将其包含在页面中以将用户添加到数据库中,并在其中进行验证登录。
在这两个页面上,我都在做$password = $_POST['password'];,以将用户在登录或注册表单上输入的密码存储在变量中。
之后,我正在做include('database-connection.php');以连接到数据库。因此$password始终等于mysql,因为我在$password中还有一个变量database-connection.php。因此,我总是在数据库中添加“ mysql”的哈希,并始终验证数据库中的哈希等于“ mysql”,因此它始终是正确的。我刚刚在数据库连接中重命名了变量$ password来解决它!