php - 我如何检查数据库中的密码是否匹配？

Question

今天我发现了一个名为 CryptoLib 的 php 类，它有助于散列密码，但现在我很困惑如何将它与我的数据库密码相匹配。

这是脚本的使用方式，每次我重新加载页面时都会生成不同的哈希值

$string = $_POST['password'];
echo $hash = CryptoLib::hash($string);

上面这行检查哈希是否匹配

$isHashCorrect = CryptoLib::validateHash($hash, $string);
echo ($isHashCorrect ? "TRUE" : "FALSE");

这是我的查询

mysqli_query($connec, "SELECT * FROM users WHERE email='$email' AND password='$password'");

现在有人可以告诉我如何匹配密码吗？

欲了解更多信息，请访问 https://cryptolib.ju.je/

Answer 1

您基本上需要通过 SELECT 查询将提供的密码与数据库中的哈希值进行比较，并遍历给定的行，就像您对 PHP 的 password_verify() 所做的那样。功能。

这方面的示例以及将结果绑定(bind)到比较的位置:

$username = "email@example.com";
$password = "pass";

    if ($stmt = $con->prepare("SELECT `password` FROM `table` WHERE email = ? ")) {

        $stmt -> bind_param("s", $username);

        /* Execute it */
        $stmt -> execute();

        /* Bind results */
        $stmt -> bind_result($result);

        /* Fetch the value */
        $stmt -> fetch();

        /* Close statement */
        $stmt -> close();
    }

$isHashCorrect = CryptoLib::validateHash($result, $password);
echo ($isHashCorrect ? "TRUE" : "FALSE");

同时使用 prepared statement .你应该使用的东西来帮助防止可能的 SQL injection您目前对此持开放态度。

同时从我的评论中注意到:

该库返回一个 256 长度的字符串。确保您数据库中的密码列不是 255，而是 256+，因为这会无声对您造成影响。

您甚至可能喜欢使用 PHP 的 password_hash()相反，这个选择完全是你的。

---

脚注:

如果您使用的是 *NIX 系统，他们的演示文件中的这一行 require_once('cryptolib.php'); 可能会给您带来错误。如果您使用的是(而不是 Windows)，则这些是区分大小写的。他们的文件名为 CryptoLib.php，在某些平台上与 cryptolib.php 不同。