尝试散列密码时将空值输入到数据库中
Null values being entered into DB when attempting to hash passwords
我过去曾在项目中使用过少量 PHP,但我正在尝试一些新的尝试来散列密码。
在一个单独的页面上有一个 Web 表单,在提交时重定向到 checkRegistration.php 表单,然后连接到数据库,获取用户值,验证它们并将它们输入到各自的列中。
到目前为止,所有传递的值都正确输入,除了 password_hash 函数传递的值被输入为“0”或空值。我认为它是 0,它没有被正确处理并且想知道我做错了什么。
<?php
$con = mysqli_connect("127.0.0.1","root","","projectdatabase");
if (mysqli_connect_errno())
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}
$password_user_input = $_POST['password'];
$options = array('cost' => 10);
$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','password_hash($password_user_input, PASSWORD_BCRYPT, $options)','$_POST[email]','$_POST[number]')";
if (!mysqli_query($con,$sql))
{
die('Error: ' . mysqli_error($con));
}
header("location:login.php");
mysqli_close($con);
?>
您没有正确使用 password_hash() 函数,并且您不能在您的 VALUES 中传递函数。
您会收到或应该收到一条错误消息,告诉您它是一个未定义的函数,或者密码列将包含 password_hash(hashed_password_string, PASSWORD_BCRYPT, Array) 作为字符串。这是我测试时收到的两个结果。
这是您需要做的。
您需要预先定义变量并将其传递给函数。
$password_user_input = $_POST['password'];
$options = array('cost' => 10);
$pass = password_hash($password_user_input, PASSWORD_BCRYPT, $options);
$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','$pass','$_POST[email]','$_POST[number]')";
但是,使用此方法会使您对 SQL injection 保持开放。
使用prepared statements, or PDO with prepared statements,它们更安全。
这是从 ircmaxell 的回答 中提取的一种方法,使用 PDO 和准备好的语句。
就用图书馆吧。严重地。它们的存在是有原因的。
- PHP 5.5+:使用
password_hash()
- PHP 5.3.7+:使用
password-compat(以上 的兼容包
- 所有其他:使用phpass
不要自己做。如果您要创建自己的盐,您做错了。您应该使用可以为您处理的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}
我过去曾在项目中使用过少量 PHP,但我正在尝试一些新的尝试来散列密码。
在一个单独的页面上有一个 Web 表单,在提交时重定向到 checkRegistration.php 表单,然后连接到数据库,获取用户值,验证它们并将它们输入到各自的列中。
到目前为止,所有传递的值都正确输入,除了 password_hash 函数传递的值被输入为“0”或空值。我认为它是 0,它没有被正确处理并且想知道我做错了什么。
<?php
$con = mysqli_connect("127.0.0.1","root","","projectdatabase");
if (mysqli_connect_errno())
{
echo "Failed to connect to MySQL: " . mysqli_connect_error();
}
$password_user_input = $_POST['password'];
$options = array('cost' => 10);
$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','password_hash($password_user_input, PASSWORD_BCRYPT, $options)','$_POST[email]','$_POST[number]')";
if (!mysqli_query($con,$sql))
{
die('Error: ' . mysqli_error($con));
}
header("location:login.php");
mysqli_close($con);
?>
您没有正确使用 password_hash() 函数,并且您不能在您的 VALUES 中传递函数。
您会收到或应该收到一条错误消息,告诉您它是一个未定义的函数,或者密码列将包含 password_hash(hashed_password_string, PASSWORD_BCRYPT, Array) 作为字符串。这是我测试时收到的两个结果。
这是您需要做的。
您需要预先定义变量并将其传递给函数。
$password_user_input = $_POST['password'];
$options = array('cost' => 10);
$pass = password_hash($password_user_input, PASSWORD_BCRYPT, $options);
$sql="INSERT INTO user_information (firstName, lastName, userName, password, email, contactNum)
VALUES
('$_POST[firstname]','$_POST[lastname]','$_POST[uname]','$pass','$_POST[email]','$_POST[number]')";
但是,使用此方法会使您对 SQL injection 保持开放。
使用prepared statements, or PDO with prepared statements,它们更安全。
这是从 ircmaxell 的回答
就用图书馆吧。严重地。它们的存在是有原因的。
- PHP 5.5+:使用
password_hash() - PHP 5.3.7+:使用
password-compat(以上 的兼容包
- 所有其他:使用phpass
不要自己做。如果您要创建自己的盐,您做错了。您应该使用可以为您处理的库。
$dbh = new PDO(...);
$username = $_POST["username"];
$email = $_POST["email"];
$password = $_POST["password"];
$hash = password_hash($password, PASSWORD_DEFAULT);
$stmt = $dbh->prepare("insert into users set username=?, email=?, password=?");
$stmt->execute([$username, $email, $hash]);
登录时:
$sql = "SELECT * FROM users WHERE username = ?";
$stmt = $dbh->prepare($sql);
$result = $stmt->execute([$_POST['username']]);
$users = $result->fetchAll();
if (isset($users[0]) {
if (password_verify($_POST['password'], $users[0]->password) {
// valid login
} else {
// invalid password
}
} else {
// invalid username
}