验证 PHP 中的密码哈希
Verifying password hash in PHP
我知道这应该很简单,但我在登录期间尝试验证密码哈希时遇到了一些问题。
我的注册处理程序中有这个:
else {
$hash = password_hash($pass, PASSWORD_BCRYPT);
$query = "INSERT INTO users (user_name, user_email, user_pass, user_country, user_month, user_day, user_year, profile_pic, register_date, num_posts, num_likes, user_closed, friend_array) VALUES ('$name', '$email', '$hash', '$country', '$month', '$day', '$year', '$profile_pic', '$date', '0', '0', 'no', ',')";
$result = mysqli_query ($con, $query);
if($query) {
$_SESSION ['user_name']=$name;
header("Location:home.php");
exit();
}
登录处理程序:
if(isset($_POST['login'])){
$name = mysqli_real_escape_string ($con, $_POST['name']);
$pass = mysqli_real_escape_string ($con, $_POST['pass']);
$get_user = "SELECT * FROM users WHERE user_name='$name' AND user_pass='$pass'";
$run_user = mysqli_query ($con, $get_user);
$check = mysqli_num_rows ($run_user);
if ($check==1) {
$row = mysqli_fetch_assoc($run_user);
$hash = $row['user_pass'];
if(password_verify($pass, $hash)){
$_SESSION ['user_name']=$name;
if(isset($_POST['remember_me'])){
setcookie("user_name", $name, time()+31556926);
}
header("Location:home.php");
exit();
}
else {
echo "Incorrect username or password.";
}
您正在尝试根据输入的密码匹配记录,该密码与存储的散列密码不同:
... AND user_pass='$pass'
根据用户名获取用户记录即可:
SELECT * FROM users WHERE user_name='$name'
(重要提示:我只是 copying/pasting 你的代码是为了简洁。但是你应该 真的 start using query parameters 而不是尝试直接清理用户输入。)
获取记录后,然后 像现在一样使用 password_verify() 验证密码。 (虽然看起来如果密码不正确你不会 return 任何消息给用户表明这一点。你可能需要另一个 else 块在那里当 password_verify() returns false.)
我知道这应该很简单,但我在登录期间尝试验证密码哈希时遇到了一些问题。
我的注册处理程序中有这个:
else {
$hash = password_hash($pass, PASSWORD_BCRYPT);
$query = "INSERT INTO users (user_name, user_email, user_pass, user_country, user_month, user_day, user_year, profile_pic, register_date, num_posts, num_likes, user_closed, friend_array) VALUES ('$name', '$email', '$hash', '$country', '$month', '$day', '$year', '$profile_pic', '$date', '0', '0', 'no', ',')";
$result = mysqli_query ($con, $query);
if($query) {
$_SESSION ['user_name']=$name;
header("Location:home.php");
exit();
}
登录处理程序:
if(isset($_POST['login'])){
$name = mysqli_real_escape_string ($con, $_POST['name']);
$pass = mysqli_real_escape_string ($con, $_POST['pass']);
$get_user = "SELECT * FROM users WHERE user_name='$name' AND user_pass='$pass'";
$run_user = mysqli_query ($con, $get_user);
$check = mysqli_num_rows ($run_user);
if ($check==1) {
$row = mysqli_fetch_assoc($run_user);
$hash = $row['user_pass'];
if(password_verify($pass, $hash)){
$_SESSION ['user_name']=$name;
if(isset($_POST['remember_me'])){
setcookie("user_name", $name, time()+31556926);
}
header("Location:home.php");
exit();
}
else {
echo "Incorrect username or password.";
}
您正在尝试根据输入的密码匹配记录,该密码与存储的散列密码不同:
... AND user_pass='$pass'
根据用户名获取用户记录即可:
SELECT * FROM users WHERE user_name='$name'
(重要提示:我只是 copying/pasting 你的代码是为了简洁。但是你应该 真的 start using query parameters 而不是尝试直接清理用户输入。)
获取记录后,然后 像现在一样使用 password_verify() 验证密码。 (虽然看起来如果密码不正确你不会 return 任何消息给用户表明这一点。你可能需要另一个 else 块在那里当 password_verify() returns false.)