所以我创建一个简单的PHP注册/登录形式。我创建了一个哈希&我需要输入密码,但是我似乎无法使用正确的密码登录。它的哈希是不正确的?请记住,我不是专业的。
注册码,工作正常,散列pw &储存盐
if ($errors === 0) {
$salt = mcrypt_create_iv(32);
$signpassword = DatabaseHelpers::hash($signpassword, $salt);
query("INSERT INTO user_info(Username, Email, Password, Salt) VALUES(:signusername, :email, :signpassword, :salt)",
array('signusername' => $signusername, 'email' => $email, 'signpassword' => $signpassword, 'salt' => $salt),
$conn);
$successstatus = 'You have successfully registered';
}
};
登录代码
$username = $_POST['username'];
$password = $_POST['password'];
function verify($password, $salt) {
hash('sha256', $password . $salt);
}//function for verifying the password, doesn't seem to be working
if (empty($username) || empty($password)) {
$logstatus = 'Please input your username and password';
//update login attempts
} else {
$salts = $conn->prepare('SELECT salt FROM user_info where username=?');
$salts->bindParam(1, $username);
$salts->execute();
$salts = $salts->fetch(PDO::FETCH_ASSOC);
foreach ($salts as $slt) {
$slt = $salt;
}//gets the salt
$hashedpassword = verify($password, $salt);//
$stmt = $conn->prepare('SELECT * FROM user_info where username=? and password=?');
$stmt->bindParam(1, $username);
$stmt->bindParam(2, $hashedpassword);
$stmt->execute();
function start($username, $sessionName){
header( 'Location: logging.php') ;
session_start();
$_SESSION['username'] = $username;
};
if($stmt->rowCount() == 1) {
start($username, $sessionName);
} else {
$logstatus = 'Username or password incorrect.';
}
};};};
当我输入正确的密码时,它总是执行else语句。如果我注释掉哈希并放入数据库中哈希后的pw,它会登录吗?我知道这可能是非常愚蠢的东西,但我看不出来。有人能帮我吗?快把我逼疯了-_-
------------------ 好了伙计们,请记住,我不是一个专家。
我用返回结果再次测试,发现两个密码的结果是两个完全不同的密码。
75642 f23ef3c7b35d0a5e223a9c3187d102e77dcc121b5d08c7bbcb44de73e2c6 b86b273ff34fce19d6b804eff5a3f5747ada4eaa22f1d49c01e52ddb7875b4b
我不知道。花了太多时间在这个愚蠢的盐的东西上,只是想学习-_-,我猜我会用内置的哈希函数,永远不会从我的错误中吸取教训,叹息…
是啊,不是每个人都有PHP 5.5,所以我不能使用那些内置的函数
您的验证函数实际上并不做任何事情。它sha256散列盐/密码,然后简单地扔掉这个散列。由于函数中没有return
,所以调用代码只是获取NULL
值。
你可能想要这样写:
function verify($pass, $salt) {
return hash('sha256', $pass . $salt);
^^^^^^----note the return call.
}
if ($hashed_password_from_database == verify($password_from_form, $salt))