我有一个问题。当我从数据库中检索 SALT 值时,我的散列密码不等于我数据库中的密码。
注册.php
- 生成随机盐以将其添加到密码末尾。
- 哈希完整值。
- 将用户名、散列密码和盐插入数据库。
while($row){
$SALT = random_bytes(32);
$SALT = bin2hex($SALT);
$query = "SELECT 1 FROM usr_accounts WHERE SALT = :SALT";
$query_params = array(':SALT' => $SALT);
try{
$stmt = $db->prepare($query);
$result = $stmt->execute($query_params);
}
catch(PDOException $ex){
die("Failed to run query: " . $ex->getMessage());
}
$row = $stmt->fetch();
if(empty($row)){
break;
}
}
for($hashnr = 0; $hashnr < 128; $hashnr++){
$PASSWORD = hash('sha256', $_POST['PASSWORD'].$SALT);
}
$query = "INSERT INTO usr_accounts (USERNAME, PASSWORD, SALT, EMAIL) VALUES (:USERNAME, :PASSWORD, :SALT, :EMAIL)";
$query_params = array(':USERNAME' => $_POST['USERNAME'], ':PASSWORD' => $PASSWORD, ':SALT' => $SALT, ':EMAIL' => $_POST['EMAIL']);
try{
$stmt = $db->prepare($query);
$result = $stmt->execute($query_params);
}
catch(PDOException $ex)
{
die("Failed to run query: " . $ex->getMessage());
}
登录.php
- 从数据库中检索数据(salt)以将其添加到密码的末尾。
- 哈希完整值。
- 检查密码值是否相等。
$query = "SELECT ID, USERNAME, PASSWORD, SALT FROM usr_accounts WHERE USERNAME = :USERNAME";
$query_params = array(':USERNAME' => $_POST['USERNAME']);
try{
$stmt = $db->prepare($query);
$result = $stmt->execute($query_params);
}
catch(PDOException $ex){
die("Failed to run query: " . $ex->getMessage());
}
$login_ok = false;
$row = $stmt->fetch();
if($row){
for($hashnr = 0; $hashnr < 128; $hashnr++){
$check_password = hash('sha256', $_POST['PASSWORD'].$row['SALT']);
}
}
最佳答案
你应该使用 password_hash() .它为您处理盐并将其添加到散列密码中。然后使用 password_verify() 检查密码是否有效。
此外,您不需要在循环中散列密码。
for($hashnr = 0; $hashnr < 128; $hashnr++){
$PASSWORD = hash('sha256', $_POST['PASSWORD'].$SALT);
}
这只是调用 hash() 128 次,每次都得到相同的结果,并将其分配给 $PASSWORD
您的散列密码不相同的原因可能是字符编码问题。确保 PHP 和 SQL 都设置为使用相同的编码(如果由您决定,则使用 UTF8)。这是一篇很好的文章 here
关于从那里检索时,PHP 在 SQL 数据库中生成的盐值不相等,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/42028657/