在这里给出了正确散列密码的建议之后,我努力让用户登录
这是我的登录功能
public function Login($email, $password)
{
$db = DB();
$stat = $db->prepare("SELECT user_id FROM users WHERE email=:email AND password=:password");
$stat->bindParam("email", $email, PDO::PARAM_STR);
$hashed_password = password_hash($password, PASSWORD_DEFAULT);
$stat->bindParam("password", $hashed_password, PDO::PARAM_STR);
$stat->execute();
if ($stat->rowCount() > 0) {
$result = $stat->fetch(PDO::FETCH_OBJ);
return $result->user_id;
} else {
return false;
} }
这是我在索引页面上的登录脚本
if (!empty($_POST['btnLogin'])) {
$email = ($_POST['email']);
$password = ($_POST['password']);
if ($email == "") {
$login_error_message = 'Email field is required!';
} else if ($password == "") {
$login_error_message = 'Password field is required!';
} else {
$user_id = $app->Login($email, $password);
if($user_id > 0)
{
$_SESSION['user_id'] = $user_id;
header("Location: frontpage.php");
}
else
{
$login_error_message = 'Invalid login details!';
}
}
}
我得到的只是“无效的登录详细信息
有人可以帮我知道我要去哪里了吗
一如既往,感谢您可以提供的任何提示
答案 0 :(得分:0)
password_hash()
仅在存储新密码时使用。您需要password_verify()
。
不要像这样将密码放入where子句:
$stat = $db->prepare("SELECT user_id FROM users WHERE email=:email AND password=:password");
相反,仅根据唯一的用户ID选择用户和哈希密码字符串:
$stat = $db->prepare("SELECT user_id,password FROM users WHERE email=:email");
然后从该记录中拉出已经散列的密码,并将其用作第二个参数:
if (password_verify($passwordTheyTyped, $passwordFromTheDatabase)) {
// success
} else {
// fail
}